Читать книгу «Социальная инженерия и социальные хакеры» онлайн полностью📖 — Максима Кузнецова — MyBook.
Введение
Для кого и о чем эта книга
Предметом книги является рассмотрение основных методов социальной инженерии – по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути, это книга о роли человеческого фактора в защите информации. О человеческом факторе в программировании выходило несколько хороших книг, одна из них, книга Ларри Константина, так и называется «Человеческий фактор в программировании». Это, пожалуй, единственная книга на данную тему, переведенная на русский язык. Вот что пишет автор в предисловии к этой книге: «Хорошее программное обеспечение создается людьми. Так же как и плохое. Именно поэтому основная тема этой книги – не аппаратное и не программное обеспечение, а человеческий фактор в программировании (peopleware)». Несмотря на то, что книга Л. Константина скорее по психологии, чем по программированию, первое издание книги было признано классическим трудом в области информационных технологий.
Информация тоже защищается людьми, и основные носители информации – тоже люди, со своим обычным набором комплексов, слабостей и предрассудков, на которых можно играть и на которых играют. Тому, как это делают и как от этого защититься, и посвящена данная книга. Исторически так сложилось, что хакерство с использованием человеческого фактора называют «социальной инженерией», поэтому наша книга так и называется «Социальная инженерия и социальные хакеры».
Защититься от социальных хакеров можно только зная их методы работы. Наша цель, как авторов книги, – ознакомить читателей с этими методами, чтобы лишить социальных хакеров их главного козыря: неискушенности их жертв в вопросах мошенничества и методах скрытого управления человеком. Мы также надеемся, что изучение материала книги будет полезным для читателей не только в профессиональном, но и в жизненном плане. Ведь изучение тех разделов психологии, о которых мы будем говорить в этой книге, позволит вам взглянуть на окружающую действительность глазами психолога.
Авторы предлагаемой книги пришли к социальному программированию и основным его концепциям, с одной стороны (и большей частью), через программирование, связанное с защитой информации, а с другой – через одно из направлений нашей профессиональной деятельности, связанное с проектированием и установкой средств защиты информации от несанкционированного доступа, систем охранной сигнализации, систем контроля доступа и т. д. Анализируя причины и методы взлома ПО или каналы утечки информации из различных структур, мы пришли к очень интересному выводу о том, что примерно в восьмидесяти (!) процентах причина этого – человеческий фактор сам по себе или умелое манипулирование оным. Хотя это наше открытие, безусловно, не ново. Потрясающий эксперимент провели английские исследователи. Не мудрствуя лукаво, они разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования.
Однако у многих лекций и опубликованных статей, с которыми ознакомились авторы, есть несколько серьезных недостатков. Во-первых, не объясняется психологическая подоплека применяемых приемов. Авторы статей просто говорят: «Это делается так-то». А почему именно так – никто не объясняет. В лучшем случае приводятся фразы: «в основе этого приема лежат принципы нейролингвистического программирования», что, правда, запутывает еще больше. Иногда еще говорят, что «для того, чтобы не стать жертвой социальных хакеров, нужно развивать в себе психологическое чутье». О том, куда за этим самым чутьем сходить и где его приобрести, тоже ничего не говорится. И, наконец, третий и, пожалуй, самый серьезный недостаток публикуемых в настоящее время статей по социальной инженерии состоит в том, что большинство примеров, которые в них приводятся – надуманные («киношные»), которые в реальной жизни не сработают. Читатель, изучая этот пример, понимает, что если к нему заявится такой хакер, он его непременно раскусит. Что правда: такого, – раскусит. Но когда к нему приходит настоящий, – он выкладывает ему самые сокровенные секреты.
Книга будет в одинаковой степени полезна представителям трех видов профессий: IT-специалистам, сотрудникам служб безопасности предприятий и психологам, изучающих социальную инженерию. В первую очередь, книга будет интересна IT-специалистам, причем самого широкого круга профессий: программистам, системным и сетевым администраторам, специалистам по компьютерной безопасности и т. д. Хотя бы потому, что за кражу ценной информации из «недр компьютера» спрашивают именно с IT-специалистов. И именно им в первую очередь приходится «расхлебывать» последствия такой кражи. Нередко на плечи IT-специалистов ложится и выяснение причин утечки информации. В силу этого многие зарубежные университеты уже вводят для специалистов по компьютерной безопасности курс лекций по основам социальной психологии. Книга будет интересна также и «рядовым» пользователям ПК, поскольку именно они наиболее часто выбираются социальными хакерами в качестве наиболее удобных мишеней.
Психологам книга будет интересна по причине того, что в ней впервые изложены основные принципы социальной инженерии и показано, на каких психологических концепциях она базируется. Сотрудникам служб безопасности она полезна по причине того, что за несанкционированное проникновение на объект отвечают именно они, а такие проникновения очень часто строятся на использовании «человеческого фактора».
Читатели книги смогут задать любой вопрос, посвященный методам социального программирования, на специальном форуме на сайте авторов.
Что означает социальная инженерия? Основы манипуляции
Социальная инженерия это наука, которая позволяет найти коммуникации с людьми и выяснить все что вам необходимо. В статье мы раскроем основы этой интересной науки.
Согласно статистике и практике взломов высокозащищённых ресурсов в большей мере уязвимость находится со стороны людей, которые в силу непрофессионализма, безответственности или недостатка знаний подвергли сервера атакам. Наибольшая проблема – это склонность людей к передаче всей информации и совершению нелогичных действий.
На память приходит история из книги «Психология влияния»: психологи по телефону передавали медсёстрам в больницах соответствующие указания, которые могли нанести ущерб здоровью и даже жизни. Достаточно было представиться врачом и 95% медсестёр следовали указанию «руководителя». Стоит учесть, что медперсонал знал последствия после манипуляции, но все равно следовали команде. Естественно, им не давали это выполнить, а возле палаты стаяли ассистенты. Исследуемые даже не попросили врача представиться. Причина, почему медсёстры так поступают, заключается в привычке следовать указаниям авторитетного лица.
Исходя из рассматриваемого примера можно сделать вывод, что за счёт социальной инженерии удалось поразить до 95% больниц.
Метод не устаревает
Технологический прогресс неуклонно набирает обороты, это приводит к увеличению функциональности и мощности оборудования и софта. Чтобы была возможность отражать атаки или их проводить, нужно всегда быть максимально осведомлённым и следить за нововведениями. Немаловажным фактором является осмотр новых разработок в первых рядах. Самая важная составляющая защиты – качественно, детально уметь анализировать IT-background темы.
Путь хакера начинается по тем же шагам. Современность приводит к необходимости использования всего пары специалистов по узкой направленности для решения отдельных, но важных задач. Центральная цель всей работы заключается в проникновении внутрь защищённой зоны.
Для достижения поставленной цели с большой долей вероятности будет необходимо использование социальной инженерии. Чаще необходимость появляется в течении первых нескольких проектов. Наибольшая ценность специалиста по социнженерии на стадии подготовки и сбора данных. Сверх полученных знаний будет необходимо наложить технологии, они уже требуют углублённых навыков и знаний.
Если компания достаточно большая и обладает специальным отделом безопасности, стоит заглянуть туда и обнаружить нескольких разработчиков с циническим и параноидальным подходом к делу. Они совершенно не доверяют людям и считают этот аспект самым уязвимым. Учитывая количество ценных данных и наработок на ПК сотрудников, такой подход вполне полезен для компании, но полной защиты не гарантирует. Основная задача команды заключается в разделении прав доступа, создании инструкций поведения при критических ситуациях и разработке способов решения проблемы.
При наличии таких кадров в штате можно повысить иммунитет компании, но система все равно останется уязвимой за счёт других сотрудников.
Основной недостаток социнжиринга для разработчиков ПО – это невозможность создать патч или специальную функцию. Для злоумышленников социальная инженерия популярна за счёт длительно периода влияния. Скорее всего механика будет сохранять эффективность всё время, в отдельных условиях могут изменяться небольшие аспекты, но чаще достигается предположительный результат.
Основная модель соц инженерии
Очевидно, что все сотрудники имеют различные уровни компетентности в отдельных вопросах обеспечения безопасности, соответственно, им выдаётся должный уровень допуска. Обычные сотрудники не должны иметь доступа к информации, которая может нанести ущерб для компании. Даже если человек окажется засланным агентом или просто обманутым, он не сможет получить особенно важную информацию – этот протокол безопасности используется во всех больших фирмах.
Все звенья цепи и персонал с различными уровнями доступа имеют линейную связь, то есть сотрудник может передать проблему на следующую ступень, там уже разбираются, уполномочены ли они решать ситуацию. Если ответ нет, вопрос передаётся дальше и т.д. Сотрудники могут по этой цепи передать всю необходимую информацию непосредственно к управляющему.
Уязвимость системы заключается в возможности представиться одним из людей высшего уровня. Здесь несколько развитий ситуации:
- Можно поставить себя авторитетом, аналогично рассматриваемому примеру с врачами.
- Задать несколько вопросов, которые на первый взгляд невинны и не причинят вреда, но это станет часть мозаики.
- Получить контакт более высокопоставленного сотрудника, так как распространено понятие взаимной помощи в пределах одной команды.
Редко можно увидеть вопросы из разряда паранойи, когда сотрудник будет выяснять данные звонившего человека и строго следовать регламенту. Можно найти лазейки даже в строгой структуре, ведь эмоции – это неотъемлемая часть человеческой натуры
Проявляете скептицизм? Правильно, но для наглядности можно рассмотреть пример, при котором злоумышленник набирает девушку из call-центра каждую неделю по 2-3 раза на протяжении месяца. Он ничего особого не просит, а представляется сотрудником. Позитивные и активные разговоры позволяют уточнить любые незначительные мелочи. Пользу приносит просьба о небольшой помощи, которая придаёт доверие просившему.
В рассматриваемом примере нет необходимости чётко представляться, вместо этого присутствует факт частого общения. Может потребоваться 10, 20, 30 или 50 раз, до момента вхождения в норму жизни. Девушка будет думать, что звонивший в курсе структуры и мелочей работы компании, так как он звонит постоянно. В следующий раз злоумышленник просит о большей помощи, теперь оператору нужно передать потенциально важные и опасные данные. По необходимости придётся предоставить обоснование и опасность при отказе. Практически любой сотрудник пойдёт ему на встречу.
Вероятно, поселится мысль, что подобному обману подвержены исключительно низко компетентные сотрудники. Это не так, в качестве аргумента можно привести вступление из книги «Искусство обмана». Здесь рассказывается история о том, что Митник представился ведущим разработчиком проекта, он попросил системного администратора передать доступ со всеми привилегиями к системе. Специалист точно осознавал потенциальный ущерб для работы, но доверился авторитету и побоялся отказать.
Обратная социальная инженерия
Принципиальных отличий в атаках социальной инженерии не наблюдается, модель приблизительно одинаковая. В случае с обратной методикой также удаётся получить информацию, которая предназначается только пользователю. Отличием является указание нужных данных самим пользователем.
Методика разыгрывается в 3 хода и показывает высокую эффективность:
- Нужно подстроить трудность или неприятность пользователю.
- Создать контакт с человеком.
- Проводится атака.
Для наглядности можно представить, что вы находитесь в охраняемой зоне, ваши полномочия – уборка территории. На стене с номером техподдержки нужно указать собственный контакт вместо правильного номера. Теперь нужно устроить небольшую проблему. Всего через 1 сутки вам поступит звонок от расстроенного пользователя, он готов передать буквально всю информацию, так как ожидает компетентность сотрудника и подразумевает, что всё это специалист и так знает. Проблемы авторизации можно исключить, так как пользователь сам идентифицирует вас как он хочет, остаётся только подыграть.
Одним из самых опасных вариаций обмана является IVR-фишинг. Нужно устроить небольшую атаку на пользователя и прислать письмо с номером центра поддержки. После непродолжительной беседы автоответчик просит указать данные от карты.
Ещё частные случаи
Фишинг может применяться на любых ресурсах, которые часто используются целью. Поместить на указанный внешний ресурс троянский конь или дезинформацию. Случаи с инфицированием машин компаний стали учащаться в последнее время.
Более муторный способ – передать интересный диск одному из сотрудников. Высока вероятность, что накопитель будет запущен, а софт оттуда запустят. Часто используются соцсети цели для сбора элементов мозаики и общения с отдельными сотрудниками. Выбор уязвимостей действительно огромный.
Резюме
Посредством социальной инженерии можно собрать данные, а затем их использовать для атаки. К примеру, «Привет! Я потерял/забыл номер Игоря из 4-го отдела, пожалуйста, напомни мне его». Можно получить даже конфиденциальную информацию: «Хорошо, спасибо. Кстати, у меня стойкое впечатление, что клиент подозрительный, смотри как он осматривал расположение камер в отделении. Подскажи номер карты, которой он пользовался только что».
Социальная инженерия позволяет обеспечить доступ к защищенной части системы: «Так, проговаривайте, что вы вводите сейчас. Подождите, давайте по буквам. Два-игрик-доллар-пэ-эс-эн большая…». Продвинутые «хакеры» могут получать конфиденциальные данные. Порой удаётся получить доступ к защищенному серверу, который отключен от сети.
Недавно проводился хакерский турнир, в рамках которого была интересная задача. Перед вами девушка, она всегда стоит на рецепшене, но вы попросили об услуге или устроили деверсию, чтобы она отлучилась. Есть всего 30 секунд, что за это время можно успеть сделать? Установить вирус или программу в систему? Ответ неверный, будет недостаточно либо времени, либо прав. Завладеть документами с рабочего стола или попытаться переадресовать письма себе? Идея рабочая, но вы раскроете свою личность. Даже просто занять её место – это опасное решение, так как высока вероятность скрытой камеры в офисе.
Лучшими решения являются ответы из сферы социального взаимодействия. Заменить стикер с номером техподдержки, после милого общения пригласить на свидание и т.д. За встречу с девушкой вне рабочей обстановки атакующего точно не осудят, но за время встречи можно получить массу полезных данных про иерархию и потенциальные уязвимости сотрудников, вплоть до данных для шантажа.
Защита компании – это основная задача отдела безопасности, но сотрудники не в силах исключить риски социальной инженерии. Чтобы обеспечить лучшую защиту стоит ознакомиться с книгой «Искусство обмана», некоторые диалоги точно зацепят вас. Полезна информация из книги «Секреты супер хакера», особенно в главе про социнженерию. Более углублённо можно почитать в «Психология влияния». Самое начало – это информация из Википедии, в которой указаны основные уязвимости и методы.
При отсутствии большого и продвинутого отдела безопасности стоит ознакомить руководителя компании с информацией, а затем провести собственный тест. С большой долей вероятности удастся узнать многое о доверчивости и склонностях человека говорить «Да».
Этический взлом: основы социальной инженерии
Что такое социальная инженерия?
Короче говоря, социальная инженерия — это искусство манипулирования и введения в заблуждение. Цель социального инженера — сделать что-то, на что он не уполномочен. Это включает в себя все, от кражи конфиденциальной информации до получения доступа к зоне ограниченного доступа. Для этого необходимо убедиться, что цель или «метка» не замечают, что делает социальный инженер, или, по крайней мере, не предпринимают никаких действий, чтобы их остановить.
Как работает социальная инженерия
Социальная инженерия — это ложь и манипуляция. При правильном подходе социальный инженер может выполнить все то же, что и традиционный хакер, и часто с гораздо меньшими затратами труда. При подготовке и проведении атаки с использованием социальной инженерии есть несколько полезных советов и приемов.
Знай свою цель
Одной из самых важных частей социальной инженерии является знание своей цели. Это включает в себя как можно больше информации о том, какую информацию или доступ вы пытаетесь получить, и о человеке, от которого вы пытаетесь это получить.
Сведение всего к единому фрагменту информации может значительно упростить и повысить эффективность социальной инженерии. Если вам нужно задать много разных вопросов, более вероятно, что отметка станет подозрительной, что может привести к внезапному завершению упражнения по социальной инженерии.
Упрощение того, что вы хотите, вплоть до минимально возможного количества информации, может потребовать некоторого моделирования атаки. Во многих случаях набор информации может быть получен из одного другого фрагмента данных. Например, доступ к учетной записи электронной почты может предоставить большое количество ценных данных и требует только знания пароля пользователя.
Получение информации тонким способом часто требует знания цели. Существует множество различных подходов к социальной инженерии (см. некоторые предложения в исследовании Чалдини), и выбор того, какой из них попробовать, зависит от знаний человека. Проведение некоторых исследований заранее может значительно увеличить вероятность успеха в социальной инженерии.
Будьте осторожны
Упражнение по социальной инженерии будет успешным только в том случае, если метка не прижилась в процессе. Социальные инженеры просят что-то, что им не должно быть позволено, и если знак понимает это, они могут легко запретить доступ.
В большинстве случаев ключевым аспектом незаметности социальной инженерии является ее сокрытие в разговоре. В то время как один странный вопрос может вызвать подозрения, метка может даже не заметить критический вопрос, если разговор длится несколько минут, а социальный инженер и метка установили некоторое взаимопонимание.
Один из способов проверить, достаточен ли этот уровень взаимопонимания (и достаточно ли удобна оценка, чтобы отвечать на необычные вопросы), — это задать что-то личное. В зависимости от того, отвечает ли цель и как, социальный инженер может понять, будет ли вопрос успешным, прежде чем задавать его.
Другой важной концепцией является эффект последовательного положения, который говорит о том, что кто-то, скорее всего, запомнит первый и последний элементы в списке. Задавая серию вопросов, чтобы получить один ответ, закопайте его в середину списка, чтобы свести к минимуму шансы обнаружения.
Не просто разговоры
Социальная инженерия основана на управлении коммуникацией, но разговоры — не единственный способ общения людей. Мы общаемся с помощью языка тела, тона голоса и многого другого, и для успеха социального инженера они должны соответствовать сообщению. На самом деле, некоторые действия по социальной инженерии можно выполнять, не говоря ни слова.
Для социального инженера несколько хорошо подобранных нарядов могут стать бесценным инструментом. Хороший костюм, быстрая уверенная походка и сотовый телефон могут (буквально) открывать двери. Какой-нибудь услужливый сотрудник может принять социального инженера за спешащего руководителя и вежливо придержать дверь. Аналогичного эффекта можно добиться с помощью тяжелого груза и униформы почтальона (выберите частную компанию, поскольку выдавать себя за сотрудника USPS является уголовным преступлением) или различными способами.
Во время разговора внешний вид и язык тела человека также должны соответствовать образу, который он использует. Руководителю может сойти с рук авторитетное отдание приказов, а офисному стажеру — нет. Подготовка и отработка хорошего персонажа для участия в социальной инженерии может сделать все проще и эффективнее.
Социальная инженерия и этический взлом
В некоторых случаях социальная инженерия выходит за рамки во время этического взлома. Многие люди не любят социальную инженерию, потому что она включает в себя ложь и может испортить отношения между сотрудниками компании и ее руководством. Это особенно верно, если взаимодействие выполняется плохо, и у сотрудников остается ощущение, что компания пыталась заставить их вести себя плохо.
Тем не менее, упражнения по социальной инженерии являются жизненно важным аспектом этического хакерского взаимодействия. Более 99% кибератак требуют участия человека, потому что в большинстве случаев обмануть человека гораздо проще, чем обмануть компьютер. Злоумышленник, пытающийся украсть миллионы долларов у компании, вряд ли усомнится в том, что в процессе обманет нескольких сотрудников. В результате этичные хакеры должны помочь клиентам научиться идентифицировать и правильно реагировать на попытки социальной инженерии.
Заключение: Станьте эффективным социальным инженером
Социальная инженерия — это искусство манипулирования. Успех в социальной инженерии зависит от понимания того, что заставляет людей делать что-то и как побудить кого-то делать что-то, что не отвечает их интересам. Люди все время делают что-то не в своих интересах, и ключ в том, чтобы то, чего хочет социальный инженер, выглядело заманчиво.
Существует множество различных ресурсов по социальной инженерии, которые определенно стоит прочитать. Однако ничто не заменит практики. Коммуникация — это улица с двусторонним движением, и социальные инженеры должны думать на лету, чтобы убедиться, что знак слышит сообщение, которое они хотят отправить. Этому нельзя научиться из книги.
Источники
- Наука убеждения, Scientific American
- Эффект Серийной Позиции, Просто Психология
- Более 99% кибератак полагаются на взаимодействие с человеком, Help Net Security
Образование в области социальной инженерии | CDE
(опубликовано во вторник, 21 января 2020 г.)
Психология социальной инженерии — почему это работает
Социальная инженерия в контексте информационной безопасности представляет собой угрозу конфиденциальности, поскольку это психологическое манипулирование людьми в совершении действий или разглашении конфиденциальной информации. Социальная инженерия — это своего рода уловка доверия с целью сбора информации.
Социальная инженерия в значительной степени опирается на шесть принципов влияния, установленных Робертом Чалдини, психологом-бихевиористом и автором книги Влияние: психология убеждения . Этими шестью ключевыми принципами являются: взаимность, приверженность и последовательность, социальное доказательство, авторитет, симпатия и дефицит.
R eciprocity — Люди склонны отвечать взаимностью, отсюда и распространенность бесплатных образцов в маркетинге.
Приверженность и Постоянство — Если люди устно или письменно берут на себя обязательство перед идеей или целью, они с большей вероятностью выполнят это обязательство, потому что они заявили, что эта идея или цель соответствуют их представлению о себе. Даже если первоначальный стимул или мотивация будут удалены после того, как они уже договорились, они продолжат соблюдать соглашение.
Социальное доказательство – Люди будут делать то, что, по их мнению, делают другие люди.
Власть – Люди склонны подчиняться авторитетным фигурам, даже если их просят совершить нежелательные действия.
Лайк – Людей легко убедить другие люди, которые им нравятся.
Дефицит – Восприятие дефицита порождает спрос. Например, фраза о том, что предложения доступны только в течение ограниченного времени, стимулирует продажи.
Социальные инженеры знают об этих человеческих предубеждениях и используют их различными способами. Атаки социальной инженерии обычно включают:
Претекстинг : Маскировка под другого человека
Приманка : соблазнение жертвы обещаниями чего-то ценного
Шантаж : Угроза раскрыть то, что цель хочет сохранить в секрете
Quid Pro Quo (разновидность Baiting) : Пообещать что-то жертве в обмен на их помощь
Социальные инженеры используют свои знания о том, как люди думают, разными способами. Ориентируясь на человеческий фактор, они увеличивают вероятность успешной атаки за счет обхода средств защиты, предназначенных для защиты от «обычных» взломов.
Томер Теллер, евангелист по безопасности и исследователь в Check Point Software, сравнивает социальную инженерию со взломом человеческого разума, объясняя в гостевом посте Forbes 2012 года, что «социальная инженерия — это взлом человеческого разума, что во многих отношениях значительно проще, чем найти новую уязвимость и использовать ее в качестве входа в свое предприятие». Теллер называет «Приманку» ключом к успешным атакам социальной инженерии: «В то время как взлом системы требует знаний об уязвимостях программирования, взлом человеческого разума требует другого рода знаний — в частности, какие типы электронных писем или ссылок являются наиболее вероятной жертвой. нажать».
Источники:
https://en.wikipedia.org/wiki/Social_engineering_(security)
https://info.phishlabs.com/blog/brain-hacking-social-engineering-efficient
https:/ /resources. infosecinstitute.com/protecting-against-social-engineering-attacks/#gref
https://www.forbes.com/sites/ciocentral/2012/03/29/social-engineering-hacking-the-human -mind/#db91dac21e34
(Опубликовано в среду, 22 января 2020 г.)
Профессиональные хитрости (социальная инженерия) — методы, которые социальные инженеры используют, чтобы обманом заставить людей выдать конфиденциальную информацию
ФишингФишинговые атаки являются наиболее распространенным типом атак с использованием методов социальной инженерии. Злоумышленники используют электронную почту, социальные сети и мгновенные сообщения, а также SMS, чтобы обманным путем заставить жертв предоставить конфиденциальную информацию или посетить вредоносный URL-адрес в попытке скомпрометировать их системы.
Фишинговые атаки имеют следующие общие характеристики:
Сообщения составляются для привлечения внимания пользователя, во многих случаях для стимулирования его любопытства, предоставляя некоторую информацию по определенной теме и предлагая жертвам посетить определенный веб-сайт для получения дополнительных данных.
Фишинговые сообщения, направленные на сбор информации о пользователе, представляют собой ощущение безотлагательности в попытке обманом заставить жертву раскрыть конфиденциальные данные, чтобы разрешить ситуацию, которая может ухудшиться без взаимодействия с жертвой.
Злоумышленники используют сокращенный URL-адрес или встроенные ссылки для перенаправления жертв на вредоносный домен, который может содержать коды эксплойтов или может быть клоном законных веб-сайтов с URL-адресами, которые кажутся законными. Во многих случаях фактическая ссылка и визуальная ссылка в электронном письме отличаются, например, гиперссылка в электронном письме не указывает на то же место, что и кажущаяся гиперссылка, отображаемая для пользователей.
Фишинговые сообщения электронной почты имеют вводящую в заблуждение строку темы, чтобы заставить получателя поверить в то, что электронное письмо пришло из надежного источника, злоумышленники используют поддельный адрес отправителя или поддельные идентификационные данные организации.
Обычно они копируют содержимое, такое как тексты, логотипы, изображения и стили, используемые на законных веб-сайтах, чтобы они выглядели подлинными.
Термин претекстинг указывает на практику представления себя как кого-то другого для получения частной информации. Обычно злоумышленники создают поддельную личность и используют ее для манипулирования получением информации.
Злоумышленники, использующие эту особую технику социальной инженерии, используют несколько идентификаторов, которые они создали во время своей работы. Эта вредная привычка может подвергнуть их операции расследованиям, проводимым экспертами по безопасности и правоохранительными органами.
Успех атаки с предлогом сильно претендует на то, что атакующий способен завоевать доверие.
Наиболее продвинутые формы предлоговых атак пытаются заставить жертв выполнить действие, позволяющее злоумышленнику обнаружить и использовать точку отказа внутри организации.
Злоумышленник может выдать себя за внешнего оператора ИТ-услуг, чтобы запросить у внутреннего персонала информацию, которая может позволить получить доступ к системе внутри организации.
Наживка и Quid Pro Quo АтакиЕще одна техника социальной инженерии — это наживка, которая использует человеческое любопытство. Приманку иногда путают с другими атаками социальной инженерии; его главная характеристика — обещание добра, которое хакеры используют для обмана жертв.
Классическим примером является сценарий атаки, в котором злоумышленники используют вредоносный файл, замаскированный под обновление программного обеспечения или универсальное программное обеспечение. Злоумышленник также может провести атаку-приманку в физическом мире, например, распространив зараженные USB-токены на парковке целевой организации и ожидая, пока внутренний персонал вставит их в корпоративный ПК.
Вредоносное ПО, установленное на USB-токенах, скомпрометирует ПК и получит полный контроль над атаками.
Атака Quid Pro Quo (также известная как атака «что-то за что-то») является вариантом травли и отличается тем, что вместо травли цели обещанием добра; атака «услуга за услугу» обещает услугу или выгоду, основанную на выполнении определенного действия.
В сценарии атаки Quid Pro Quo хакер предлагает услугу или выгоду в обмен на информацию или доступ.
Наиболее распространенная атака «услуга за услугу» происходит, когда хакер выдает себя за ИТ-сотрудника крупной организации. Этот хакер пытается связаться по телефону с сотрудниками целевой организации, а затем предлагает им какое-то обновление или установку программного обеспечения.
Они могут попросить жертв облегчить операцию, временно отключив антивирусное программное обеспечение для установки вредоносного приложения.
Источники:
https://resources.infosecinstitute.com/common-social-engineering-attacks/#gref
(опубликовано в четверг, 23 января 2020 г.)
Борьба с атаками социальной инженерии с помощью критического мышления
Пожалуйста, найдите минутку, чтобы просмотреть эту короткую статью о критическом мышлении и о том, как оно защищает от атак социальной инженерии. Статья: https://www.social-engineer.com/what-is-critical-thinking/
СЕЙЧАС , рассмотрите следующие сценарии:
Сценарий №1 : Вы получаете звонок из «Справочной службы». Звонящий объясняет, что проблема с вашим компьютером. Они запрашивают ваше имя пользователя и пароль для доступа к вашему компьютеру, чтобы иметь возможность исследовать и устранить проблему.
Подумайте (критически) об этом : Предоставление ваших учетных данных вызывающему абоненту является обязательством. Пароль — это ваша аутентификация, и как только его узнает хотя бы один человек, он больше не может подтвердить вашу личность. Любое действие, выполненное на вашем компьютере с вашим паролем, отслеживается до вас. Вы действительно хотите нести ответственность за действия другого?
Дополнительный фон/перспектива :
https://security.stackexchange.com/questions/5539/is-it-ok-to-tell-your-password-to-your-companys-sysadmin
https: //www. social-engineer.com/what-is-critical-thinking/
Используемые принципы влияния : Взаимность и авторитет (см. публикацию за вторник, 21 января 2020 г.: Психология социальной инженерии — почему это работает)
Используемые эмоциональные триггеры : Страх, Доверие, Любопытство , Жадность
Сценарий № 2: Вы задаете вопросы о доставке от Fed. Есть ссылка, по которой можно щелкнуть, чтобы предоставить необходимую информацию.
Подумай (критически) об этом : Зачем FedEx обращаться к ВАМ за информацией об ИХ операциях? Они не будут. У них есть вся необходимая информация, предусмотренная приказом.
Дополнительная информация/точка зрения :
https://abcnews.go.com/Technology/fraudulent-text-message-claims-fedex-package-information/story?id=68450946
https://www. social-engineer.com/what-is-critical-thinking/
Используемые принципы влияния : Взаимность и авторитет (см. публикацию за вторник, 21 января 2020 г.: Психология социальной инженерии — почему это работает)
Используемые эмоциональные триггеры : Страх , Доверие, Любопытство, Жадность
Сценарий № 3: Вы получаете электронное письмо с предложением подарочной карты .
Подумай (критически) об этом : Зачем Amazon случайным образом раздает подарочные карты на 1000 долларов? Является ли хорошей деловой практикой раздавать большие суммы денег? Нужно ли Amazon стимулировать продажи?
Дополнительный фон/ракурс :
https://www.2-spyware.com/remove-amazon-gift-card-scam.html https://www.amazon.com/giftcardscams/b?ie= UTF8&узел=15435487011
What is Critical Thinking?
Используемые принципы влияния : Взаимность, симпатия и дефицит (просмотрите публикацию за вторник, 21 января 2020 г. : The Psychology социальной инженерии – почему это работает)
Используемые эмоциональные триггеры : Страх , Доверие, Любопытство, Жадность
Осторожно!
Советы по выявлению фишинговых (разновидность социальной инженерии) электронных писем
Атаки социальной инженерии обычно включают в себя некоторую форму психологического манипулирования, заставляя ничего не подозревающих пользователей или сотрудников передавать конфиденциальные или конфиденциальные данные. Обычно социальная инженерия включает в себя электронную почту или другое общение, которое вызывает у жертвы безотлагательность, страх или аналогичные эмоции, заставляя жертву быстро раскрыть конфиденциальную информацию, щелкнуть вредоносную ссылку или открыть вредоносный файл. Поскольку около 91% утечек данных происходит из-за фишинга, это стало одной из наиболее используемых форм социальной инженерии. Атаки социальной инженерии, нацеленные на компании или отдельных лиц, наиболее легко и успешно запускаются через электронную почту.
Некоторые из наиболее эффективных строк темы часто невинны и просты, например:
- Специальное уведомление-приглашение: был получен доступ к вашему онлайн-файлу
- Порадуйте маму в это воскресенье изысканным букетом за 29,96 долларов
- Будьте замечены и наблюдайте за взлетом своей карьеры
- Узнать об арфе
- Букеты ко Дню матери с ДИЗАЙНЕРСКИМИ ВАЗАМИ
- Отмена услуги 10 мая
- ОТПРАВОЧНЫЙ ДОКУМЕНТ / ПОДТВЕРЖДЕНИЕ BL
- Добро пожаловать на сайт Who’s Who Connection
- Подтвердить доставку
- Подтвердите перевод 3K до понедельника
- Письмо-уведомление ФБР [код 210]
- Входящий факс
- Думаю, тебе понравится
- Новые законы о реформе здравоохранения находятся в
- Без процентов за первый год
- Уведомление о платеже
- Считать срочным и вернуться ко мне
- Ваша установка
- Ваш номер телефона
Когда Получатель открывает электронное письмо, сообщение должно быть достаточно убедительным, чтобы щелкнуть ссылку или вложенный файл, чтобы инициировать или осуществить Атаку. Фишинг становится все более успешным, потому что злоумышленники создают более законные электронные письма, а атаки становятся более изощренными. Благодаря распространенности социальных сетей злоумышленник может найти все, что ему нужно знать о человеке и его интересах, создать электронное письмо, специально предназначенное для этого человека, и отправить что-то непосредственно ему, что увеличивает шансы этого человека щелкнуть.
Фишинговые электронные письма:
- Электронные письма с очень профессиональным видом и презентацией. Эти электронные письма могут включать поддельные адреса электронной почты законных компаний или, казалось бы, невинные предложения, такие как продажа цветов ко Дню матери.
- Очень короткие и содержательные электронные письма, в которых часто упоминается поддельный счет, заблокированный платеж, доставка или факс.
- Электронные письма, предназначенные для создания кликабельного поведения путем запугивания, например электронные письма, сделанные так, чтобы они выглядели так, как будто они отправлены ФБР, банковским учреждением или налоговой службой.