Socijalni inženjering - umjetnost hakiranja ljudi

Socijalni inženjering je čin manipuliranja nekim radi odavanja informacija ili činjenja nečega što obično nije u njihovom najboljem interesu. U ovom ćemo članku pogledati nekoliko uobičajenih načina na koje socijalni inženjeri pokušavaju manipulirati vama.

Izjava o odricanju odgovornosti: Moji su članci isključivo edukativni. Ako ih pročitate i nekome nanesete štetu, to je na vama. Ne potičem bilo kakvu zlonamjernu aktivnost ili prakse crnih šešira. Etički kodeks pročitajte ovdje.

Jedna od uobičajenih vrsta prijevara je španjolski zatvorenik koji datira iz 18. stoljeća i ima puno modernih inkarnacija.

Obično uključuje nekoga tko je u nevolji i treba vašu pomoć kako bi pristupio svom bogatstvu. Samo trebate uplatiti nekoliko tisuća dolara, a oni će vam vratiti deset puta. Ali možete pretpostaviti kako to završava.

Internetom su kružile slične prevare: IRS prijevara, prevara s lutrijom i tako dalje. Oni su široko klasificirani kao prevare s avansnom ponudom. Nešto vas čeka, ali morate platiti predujam da biste to primili.

Prosječnoj će se osobi to činiti kao loše izvedeni napadi prevare. Ali ove su prevare uzrokovale tisuće ljudi da izgube svoj teško stečeni novac. U nekim slučajevima, njihova životna ušteda.

Sve su to primjeri socijalnog inženjeringa na djelu.

Ideja socijalnog inženjeringa je iskoristiti prirodne tendencije i emocionalne reakcije potencijalne žrtve. Strah i pohlepa najosjetljivije su emocije koje obično koriste socijalni inženjeri.

Ispod je sjajan primjer napada socijalnog inženjeringa u stvarnom svijetu.

Vrste napada na socijalni inženjering

Socijalni inženjering može se široko klasificirati u pet vrsta napada na temelju vrste pristupa koji se koristi za manipulaciju ciljem. Prođimo kroz svaku od njih.

Neželjena pošta (e-pošta, tekst, Whatsapp)

Neželjena pošta uključuje slanje poruka velikim skupinama ljudi čiji se podaci za kontakt obično dobivaju podlim metodama. Neželjena pošta je opći pojam koji se koristi za definiranje emitiranja zlonamjernih i nenamjernih poruka.

Zlonamjernu neželjenu poštu koriste oglašivači koji pokušavaju promovirati svoje proizvode slučajnim strancima slanjem e-pošte u skupnom obliku. Njihov motiv nije nanijeti štetu, već pokušati natjerati ljude da kupe njihove proizvode ili promoviraju njihove usluge.

Zlonamjerna neželjena pošta uključuje poruke koje pokušavaju privući korisnike na web mjesto napadača kako bi otkrile osobne podatke. Te se informacije zatim koriste za izradu ciljanih phishing / vishing napada na potencijalnu žrtvu.

Phishing (i Vishing)

Kada napadač koristi tekstualne poruke, e-poštu ili glasovne pozive (glasovna krađa identiteta = vishing), to se naziva krađa identiteta.

Phishing se koristi da bi meta vjerovala da ih zove legitimna institucija ili entitet kako bi se iz njega izvukle vrijedne informacije.

Ako netko nazove vašu tvrtku pretvarajući se da ste dobavljač vašeg pisača, možda će moći dobiti određene informacije o pisaču - model, IP adresu (ako je povezan s internetom) i tako dalje.

A nakon što se daju ove informacije, pisač bi mogao biti napadnut kako bi dobio pristup vašoj internoj mreži.

Uobičajeni su i napadi krađe identiteta putem e-pošte. Napadač može poslati e-poštu nekome u vašoj tvrtki pretvarajući se da je Facebook. Jednom kada član tima klikne vezu, završit će na stranici koja izgleda poput Facebooka, tražeći od njih podatke za prijavu. Ovi podaci za prijavu poslat će se poslužitelju napadača nakon čega imaju potpun pristup žrtvinom Facebook računu.

Glavna razlika između krađe identiteta i prijevare je u tome što su napadi krađe identiteta visoko ciljani. Napadač zna koga žele napasti i koju vrstu informacija traže.

Vabanje

Vabanje uključuje projektiranje zamke i čekanje da potencijalna žrtva uđe u nju. Kao jednostavan primjer, ako napadač spusti nekoliko USB pogona na parkiralište vaše tvrtke, velika je vjerojatnost da će ga jedan od vaših zaposlenika pokušati priključiti na svoje računalo kako bi provjerio sadržaj USB pogona.

Ovo bi moglo zvučati glupo, ali bilo je brojnih slučajeva kada su jednostavni trikovi socijalnih inženjera rezultirali masovnim kršenjem korporativnih podataka. Obično je lako mamiti ljude prijevarama kao što je Advance ponuda prevara koje još uvijek kruže internetom, hraneći se lakovjernim ljudima.

Još jedna uobičajena vrsta mamaca nalazi se u piratskom softveru. Napadač će ugraditi zlonamjerni softver u popularni operativni sustav ili film koji će žrtva preuzeti. Jednom kad žrtva preuzme i pokrene softver, zlonamjerni kod izvršava se na žrtvinom sustavu i napadač dobiva puni pristup žrtvinom stroju.

PiggyBacking

PiggyBacking znači korištenje nekoga drugog za napad na potencijalnu žrtvu. Napadač će upotrijebiti treću stranu (obično nevinu) koja ima pristup žrtvi kako bi izveo napad na prase.

Postoje mnoge varijacije praseta. Ako napadač slijedi vašeg zaposlenika do vašeg ureda pomoću njegove pristupne kartice, ovo je jedan od oblika podmetanja koji se naziva tailgating.

Bilo je mnogo slučajeva napada kasica, posebno za povjerljive podatke. Dobavljačke tvrtke koje opskrbljuju hardver / softver vladinim organizacijama obično su meta napada napada.

Jednom kada su ovi dobavljači ugroženi, lako je napasti ciljnu instituciju jer prodavač već ima razinu pristupa cilju.

Piggybacking je također povezan s nekim oblicima aktivnog prisluškivanja. Napadač će koristiti legitimnu vezu žrtve kako bi prisluškivao mrežu.

Nedavno sam napisao članak o Wiresharku koji bi vam mogao biti zanimljiv.

Izdvajanje vode

Water Holing uzima u obzir rutinske akcije cilja i koristeći jednu od tih radnji za dobivanje neovlaštenog pristupa. Na primjer, napadač će pronaći web stranice koje meta svakodnevno koristi i pokušava instalirati zlonamjerni softver na jednu od tih web stranica.

Naziv "Izdvajanje vode" izveden je iz činjenice da grabežljivci u divljini često čekaju svoj plijen u blizini svojih uobičajenih pojilišta.

Primjer je kampanja za Svetu vodu 2019. koja je usmjerena na azijske vjerske i dobrotvorne skupine. Web stranica je ugrožena, nakon čega su posjetitelji zamoljeni da instaliraju Adobe Flash u svoje preglednike.

Budući da Adobe Flash ima brojne ranjivosti, napadačima je bilo lako izvršiti zlonamjerni kod na žrtvinim računalima. Napadi na pojilišta su rijetki, ali predstavljaju značajnu prijetnju jer ih je vrlo teško otkriti.

Zaštita od socijalnog inženjeringa

Sad kad smo vidjeli različite vrste pristupa koje koriste socijalni inženjeri, pogledajmo kako možemo zaštititi sebe i svoju organizaciju od napada socijalnog inženjeringa.

Instalirajte filtre za e-poštu i neželjenu poštu

Iako filtri za neželjenu poštu ne mogu uhvatiti visoko ciljane napade, spriječit će većinu neželjene i zlonamjerne e-pošte da dođu do vašeg računa.

Ažurirajte Antivirus i vatrozid

Slično filtrima za neželjenu poštu, ažurirani antivirusni softver zaštitit će od većine uobičajenih virusa, trojanaca i zlonamjernog softvera.

Zatražite provjeru

Uvijek zatražite potvrdu kada vas netko nazove tvrdeći da predstavljate organizaciju, na primjer vašu banku. Nikada ne dijelite povjerljive detalje poput brojeva kreditnih kartica ili lozinki putem telefona ili e-pošte.

Stvorite svijest

Najbolji način da spriječite da vaša organizacija bude iskorištena je stvaranje programa osvještavanja o sigurnosti. Obrazovanje svojih zaposlenika veliko je dugoročno ulaganje kako biste zaštitili svoju tvrtku.

Ako se čini predobro da bi bilo istina, jest

Napokon, ako nešto zvuči predobro da bi bilo istina, to obično jest. Nikada nemojte vjerovati strancima koji obećavaju da ćete se brzo obogatiti. Kao što je netko jednom rekao, "pokušaj brzog bogaćenja najbrži je način da izgubite sav novac".

Zaključak

Socijalni inženjeri su majstori manipulacije. Ako zaposlenici tvrtke nisu obučeni za svijest o socijalnom inženjeringu, jako im je teško izbjeći da padnu u zamku socijalnog inženjera.

Socijalni inženjeri rade s osjećajima ljudi, obično strahom i pohlepom. Dakle, kad god izvodite radnju temeljenu na ove dvije emocije, možda biste željeli napraviti korak unatrag i vidjeti da li se vama manipulira.

Poznati je razgovor o TED-u u kojem je netko započeo razgovor s neželjenom poštom. Cijeli video pogledajte ovdje.

Sažetak mojih članaka i videozapisa možete dobiti na vašu e-poštu svakog ponedjeljka ujutro. Ovdje također možete saznati više o meni .