Inżynieria społeczna (bezpieczeństwo)

Część serii poświęconej
bezpieczeństwu informacji
Powiązane kategorie bezpieczeństwa
Bezpieczeństwo komputera Zabezpieczenia samochodowe Cyberprzestępczość Handel cyberseksuem Oszustwo komputerowe Cybergeddon Cyberterroryzm Cyberwojna Elektroniczna wojna Wojna informacyjna Ochrona Internetu Mobilne zabezpieczenia Bezpieczeństwo sieci Ochrona przed kopiowaniem Zarządzanie Prawami Cyfrowymi
Groźby
Oprogramowanie reklamowe Zaawansowane trwałe zagrożenie Wykonanie dowolnego kodu Backdoory Backdoory sprzętowe Wstrzyknięcie kodu Oprogramowanie przestępcze Skrypty między witrynami Złośliwe oprogramowanie typu cryptojacking Botnety Naruszenie danych Pobieranie z przejazdu Obiekty pomocnicze przeglądarki Wirusy Skrobanie danych Odmowa usługi Podsłuchiwanie Oszustwa e-mailowe Fałszowanie wiadomości e-mail Exploity Keyloggery Bomby logiczne Bomby czasowe Bomby widełkowe Zip bomby Fałszywe dialery Złośliwe oprogramowanie Ładunek Wyłudzanie informacji Silnik polimorficzny Eskalacja uprawnień Oprogramowanie wymuszające okup rootkity Bootkity straszenie Kod powłoki Spamowanie Inżynieria społeczna Skrobanie ekranu Programy szpiegujące Błędy oprogramowania konie trojańskie Trojany sprzętowe Trojany zdalnego dostępu Słaby punkt Powłoki internetowe Wycieraczka Robaki wstrzyknięcie SQL Fałszywe oprogramowanie zabezpieczające Bałwan
obrona
Bezpieczeństwo aplikacji Bezpieczne kodowanie Bezpieczne domyślnie Bezpieczne z założenia Przypadek niewłaściwego użycia Kontrola dostępu do komputera Uwierzytelnianie Uwierzytelnianie wieloskładnikowe Upoważnienie Oprogramowanie zabezpieczające komputer Oprogramowanie antywirusowe System operacyjny zorientowany na bezpieczeństwo Bezpieczeństwo skoncentrowane na danych Zaciemnianie kodu Maskowanie danych Szyfrowanie Zapora ogniowa System wykrywania włamań Oparty na hoście system wykrywania włamań (HIDS) Wykrywanie anomalii Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM) Mobilna bezpieczna brama Samoobrona aplikacji uruchomieniowej

W kontekście bezpieczeństwa informacji socjotechnika to psychologiczna manipulacja ludźmi w celu podjęcia działań lub ujawnienia poufnych informacji . Rodzaj sztuczki zaufania w celu zebrania informacji, oszustwa lub dostępu do systemu, różni się od tradycyjnego „oszustwa” tym, że często jest jednym z wielu kroków w bardziej złożonym oszustwie. Zostało również zdefiniowane jako „każde działanie, które wpływa na osobę do podjęcia działania, które może, ale nie musi, leżeć w jej najlepszym interesie”.

Przykładem socjotechniki jest wykorzystanie funkcji „zapomniałem hasła” na większości serwisów wymagających logowania. Niewłaściwie zabezpieczony system odzyskiwania hasła może zostać wykorzystany do przyznania złośliwemu atakującemu pełnego dostępu do konta użytkownika, podczas gdy pierwotny użytkownik utraci dostęp do konta.

Kultura bezpieczeństwa informacji

Zachowanie pracowników może mieć duży wpływ na bezpieczeństwo informacji w organizacjach. Koncepcje kulturowe mogą pomóc różnym segmentom organizacji w efektywnej pracy lub przeciwdziałać skuteczności w zakresie bezpieczeństwa informacji w organizacji. „Exploring the Relationship between Organizational Culture and Information Security Culture” zawiera następującą definicję kultury bezpieczeństwa informacji: „ISC to ogół wzorców zachowań w organizacji, które przyczyniają się do ochrony wszelkiego rodzaju informacji”.

Andersson i Reimers (2014) stwierdzili, że pracownicy często nie postrzegają siebie jako części „wysiłków” organizacji w zakresie bezpieczeństwa informacji i często podejmują działania, które ignorują najlepszy interes organizacji w zakresie bezpieczeństwa informacji. Badania pokazują, że kultura bezpieczeństwa informacji wymaga ciągłego doskonalenia. W „Information Security Culture from Analysis to Change” autorzy skomentowali, że „jest to niekończący się proces, cykl oceny i zmiany lub konserwacji”. Sugerują, że aby zarządzać kulturą bezpieczeństwa informacji, należy podjąć pięć kroków: ocena wstępna, planowanie strategiczne, planowanie operacyjne, wdrożenie i ocena końcowa.

• Ocena wstępna: określenie świadomości bezpieczeństwa informacji wśród pracowników oraz analiza aktualnej polityki bezpieczeństwa.
• Planowanie strategiczne: aby opracować lepszy program uświadamiający, musimy wyznaczyć jasne cele. Grupowanie ludzi jest pomocne w osiągnięciu tego celu.
• Planowanie operacyjne: ustanowienie dobrej kultury bezpieczeństwa w oparciu o komunikację wewnętrzną, zaangażowanie kierownictwa oraz świadomość bezpieczeństwa i program szkoleniowy.
• Implementacja: do wdrożenia kultury bezpieczeństwa informacji należy zastosować cztery etapy. Są to zaangażowanie kierownictwa, komunikacja z członkami organizacji, kursy dla wszystkich członków organizacji oraz zaangażowanie pracowników.

Techniki i terminy

Wszystkie techniki inżynierii społecznej opierają się na specyficznych atrybutach podejmowania decyzji przez ludzi, znanych jako błędy poznawcze . Te uprzedzenia, czasami nazywane „błędami w ludzkim sprzęcie”, są wykorzystywane w różnych kombinacjach do tworzenia technik ataków, z których niektóre wymieniono poniżej. Ataki stosowane w inżynierii społecznej mogą służyć do kradzieży poufnych informacji pracowników. inżynierii społecznej odbywa się przez telefon.Innymi przykładami ataków socjotechnicznych są przestępcy podszywający się pod eksterminatorów, strażaków i techników, którzy kradną tajemnice firmowe.

Jednym z przykładów inżynierii społecznej jest osoba, która wchodzi do budynku i publikuje oficjalnie wyglądające ogłoszenie w biuletynie firmowym, w którym jest napisane, że zmienił się numer działu pomocy technicznej. Tak więc, gdy pracownicy wzywają pomocy, osoba prosi ich o podanie haseł i identyfikatorów, uzyskując w ten sposób możliwość dostępu do prywatnych informacji firmy. Innym przykładem inżynierii społecznej może być kontakt hakera z celem na portalu społecznościowym i rozpoczyna rozmowę z celem. Stopniowo haker zdobywa zaufanie ofiary, a następnie wykorzystuje to zaufanie, aby uzyskać dostęp do poufnych informacji, takich jak hasło lub dane konta bankowego.

Inżynieria społeczna w dużym stopniu opiera się na sześciu zasadach wywierania wpływu ustanowionych przez Roberta Cialdiniego . Teoria wpływu Cialdiniego opiera się na sześciu kluczowych zasadach: wzajemności, zaangażowaniu i konsekwencji, społecznym dowodzie słuszności, autorytecie, sympatii, rzadkości.

Sześć kluczowych zasad

Autorytet

W inżynierii społecznej atakujący może udawać autorytet, aby zwiększyć prawdopodobieństwo przestrzegania przez ofiarę.

Zastraszenie

Napastnik (potencjalnie przebrany) informuje lub daje do zrozumienia, że ​​niewykonanie pewnych działań pociągnie za sobą negatywne konsekwencje. Konsekwencje mogą obejmować subtelne zastraszanie, takie jak „Powiem twojemu kierownikowi”, a nawet znacznie gorsze.

Konsensus / społeczny dowód słuszności

Ludzie będą robić rzeczy, które widzą, że inni robią. Na przykład w jednym eksperymencie ^{[ który? ]} jeden lub więcej konfederatów patrzyło w niebo; osoby postronne patrzyły wtedy w niebo, aby zobaczyć, czego im brakuje. W pewnym momencie ten eksperyment został przerwany, ponieważ tak wielu ludzi patrzyło w górę, że zatrzymywali ruch uliczny. Zobacz zgodność i eksperymenty zgodności Ascha .

Niedostatek

Postrzegany niedobór wygeneruje popyt . Powszechny zwrot reklamowy „do wyczerpania zapasów” wykorzystuje poczucie niedoboru.

Pilna sprawa

Powiązani z niedoborem, atakujący wykorzystują pilność jako opartą na czasie psychologiczną zasadę inżynierii społecznej. Na przykład stwierdzenie, że oferty są dostępne „tylko przez ograniczony czas”, zachęca do sprzedaży poprzez poczucie pilności.

Znajomość / lubienie

Ludzie łatwo dają się przekonać innym ludziom, których lubią. Cialdini cytuje marketing Tupperware w ramach czegoś, co można by teraz nazwać marketingiem wirusowym . Ludzie chętniej kupowali, jeśli podobała im się osoba, która im to sprzedawała. Omówiono niektóre z wielu uprzedzeń faworyzujących bardziej atrakcyjne osoby. Zobacz stereotyp atrakcyjności fizycznej .

Cztery wektory inżynierii społecznej

Vishing

Vishing, znany również jako „ phishing głosowy ”, to przestępcza praktyka polegająca na wykorzystaniu socjotechniki za pośrednictwem systemu telefonicznego w celu uzyskania dostępu do prywatnych informacji osobistych i finansowych od ogółu społeczeństwa w celu uzyskania nagrody finansowej. Jest również używany przez atakujących do rozpoznawczych w celu zebrania bardziej szczegółowych danych wywiadowczych na temat docelowej organizacji.

Wyłudzanie informacji

Phishing to technika nieuczciwego pozyskiwania prywatnych informacji. Zwykle phisher wysyła wiadomość e-mail, która wydaje się pochodzić z legalnej firmy — banku lub firmy obsługującej karty kredytowe — z prośbą o „weryfikację” informacji i ostrzeżeniem o poważnych konsekwencjach , jeśli nie zostanie ona dostarczona. Wiadomość e-mail zwykle zawiera łącze do fałszywej strony internetowej, która wydaje się być wiarygodna — z logo firmy i treścią — i zawiera formularz z żądaniem podania wszystkiego, od adresu domowego po kod PIN karty bankomatowej lub numer karty kredytowej . Na przykład w 2003 r. doszło do oszustwa polegającego na wyłudzaniu informacji, w ramach którego użytkownicy otrzymywali wiadomości e-mail rzekomo z serwisu eBay , twierdząc, że konto użytkownika zostanie zawieszone, chyba że zostanie kliknięty podany link w celu zaktualizowania danych karty kredytowej ( informacja, którą prawdziwy serwis eBay już posiadał). Naśladując kod HTML i logo legalnej organizacji, można stosunkowo łatwo sprawić, by fałszywa strona internetowa wyglądała na autentyczną. Oszustwo skłoniło niektórych ludzi do myślenia, że ​​serwis eBay wymaga od nich zaktualizowania informacji o koncie poprzez kliknięcie podanego łącza. Poprzez masowe spamowanie bardzo dużych grup ludzi, „phisher” liczył na zdobycie poufnych informacji finansowych od niewielkiego odsetka (choć dużej liczby) odbiorców, którzy posiadają już konta w serwisie eBay i również padli ofiarą oszustwa.

Połyskujący

Czynność polegająca na wykorzystywaniu wiadomości tekstowych SMS w celu zwabienia ofiar do określonego działania, znana również jako „smishing”. Podobnie jak phishing , może to być kliknięcie złośliwego łącza lub ujawnienie informacji. Przykładami są wiadomości tekstowe, które rzekomo pochodzą od wspólnego przewoźnika (takiego jak FedEx), informujące o tym, że paczka jest w drodze, wraz z podanym linkiem.

Personifikacja

Udawanie lub podszywanie się pod inną osobę w celu uzyskania fizycznego dostępu do systemu lub budynku. Podszywanie się jest wykorzystywane w oszustwach związanych z wymianą karty SIM .

Inne koncepcje

Udawanie

Pretexting (przym. pretextual ) to akt tworzenia i wykorzystywania wymyślonego scenariusza ( pretext ) do zaangażowania docelowej ofiary w sposób, który zwiększa szansę, że ofiara ujawni informacje lub wykona działania, które byłyby mało prawdopodobne w zwykłych okolicznościach. Skomplikowane kłamstwo , które najczęściej wymaga wcześniejszych badań lub konfiguracji i wykorzystania tych informacji do podszywania się ( np . data urodzenia, numer ubezpieczenia społecznego , ostatnia kwota rachunku), aby ustalić zasadność w umyśle celu. W tle pretekstowanie można interpretować jako pierwszą ewolucję inżynierii społecznej i nadal się rozwijało, gdy inżynieria społeczna obejmowała współczesne technologie. Obecne i przeszłe przykłady pretekstowania pokazują ten rozwój.

Ta technika może zostać wykorzystana do oszukania firmy w celu ujawnienia informacji o klientach, a także przez prywatnych detektywów w celu uzyskania zapisów rozmów telefonicznych, rejestrów mediów, rejestrów bankowych i innych informacji bezpośrednio od przedstawicieli obsługi firmy. Informacje te można następnie wykorzystać do ustalenia jeszcze większej legitymacji podczas trudniejszych pytań z menedżerem, np . w celu dokonania zmian na koncie, uzyskania określonych sald itp.

Podszywanie się pod pretekst może być również wykorzystywane do podszywania się pod współpracowników, policję, bank, organy podatkowe, duchownych, śledczych — lub każdą inną osobę, która mogłaby postrzegać autorytet lub prawo wiedzieć w umyśle ofiary. Pretexter musi po prostu przygotować odpowiedzi na pytania, które może zadać ofiara. W niektórych przypadkach wystarczy głos, który brzmi autorytatywnie, poważny ton i umiejętność samodzielnego myślenia, aby stworzyć pretekstowy scenariusz.

Vishing

Phishing telefoniczny (lub „ vishing ”) wykorzystuje nieuczciwy system interaktywnej odpowiedzi głosowej (IVR) w celu odtworzenia legalnie brzmiącej kopii systemu IVR banku lub innej instytucji. Ofiara jest proszona (zwykle za pośrednictwem wiadomości e-mail phishingowej) o skontaktowanie się z „bankiem” za pośrednictwem podanego (najlepiej bezpłatnego) numeru w celu „zweryfikowania” informacji. Typowy system „vishing” będzie nieustannie odrzucał logowanie, upewniając się, że ofiara wielokrotnie wprowadza kody PIN lub hasła, często ujawniając kilka różnych haseł. Bardziej zaawansowane systemy przekazują ofiarę atakującemu/oszustowi, który podszywa się pod agenta obsługi klienta lub bezpieczeństwa w celu dalszego przesłuchania ofiary.

Wyłudzanie informacji

Choć podobny do „phishingu”, spear phishing jest techniką polegającą na nieuczciwym pozyskiwaniu prywatnych informacji poprzez wysyłanie wysoce spersonalizowanych wiadomości e-mail do kilku użytkowników końcowych. Jest to główna różnica między atakami phishingowymi, ponieważ kampanie phishingowe koncentrują się na wysyłaniu dużej liczby ogólnych wiadomości e-mail z oczekiwaniem, że odpowie tylko kilka osób. Z drugiej strony wiadomości e-mail typu spear phishing wymagają od osoby atakującej przeprowadzenia dodatkowych badań w celu „nakłonienia” użytkowników końcowych do wykonania żądanych działań. Wskaźnik powodzenia ataków spear-phishing jest znacznie wyższy niż ataków phishingowych, przy czym ludzie otwierają około 3% e-maili phishingowych w porównaniu z około 70% potencjalnych prób. Kiedy użytkownicy faktycznie otwierają wiadomości e-mail, e-maile phishingowe mają stosunkowo niewielki 5% wskaźnik sukcesu, aby kliknąć łącze lub załącznik, w porównaniu do 50% skuteczności ataku typu spear-phishing.

Powodzenie spear phishingu w dużej mierze zależy od ilości i jakości danych OSINT (wywiad typu open source), które atakujący może uzyskać. Aktywność na kontach w mediach społecznościowych jest jednym z przykładów źródła OSINT.

Dziura wodna

Water Holing to ukierunkowana strategia socjotechniczna, która wykorzystuje zaufanie użytkowników do stron internetowych, które regularnie odwiedzają. Ofiara czuje się bezpiecznie robiąc rzeczy, których nie zrobiłaby w innej sytuacji. Ostrożna osoba może na przykład celowo unikać kliknięcia łącza w niechcianej wiadomości e-mail, ale ta sama osoba bez wahania kliknie łącze w często odwiedzanej witrynie internetowej. Tak więc atakujący przygotowuje pułapkę na nieostrożną ofiarę w ulubionym wodopoju. Strategia ta została z powodzeniem wykorzystana do uzyskania dostępu do niektórych (rzekomo) bardzo bezpiecznych systemów.

Atakujący może wyruszyć, identyfikując grupę lub osoby, które mają być celem. Przygotowanie polega na zebraniu z bezpiecznego systemu informacji o stronach internetowych, które często odwiedzają cele. Zebrane informacje potwierdzają, że cele odwiedzają strony internetowe i że system zezwala na takie wizyty. Atakujący następnie testuje te witryny pod kątem luk w zabezpieczeniach w celu wstrzyknięcia kodu, który może zainfekować system odwiedzającego złośliwym oprogramowaniem . Wstrzyknięta pułapka kodu i złośliwe oprogramowanie mogą być dostosowane do konkretnej grupy docelowej i konkretnych systemów, z których korzystają. Z czasem jeden lub więcej członków grupy docelowej zostanie zainfekowanych, a osoba atakująca może uzyskać dostęp do bezpiecznego systemu.

Przynęta

Przynęta przypomina prawdziwego konia trojańskiego , który wykorzystuje nośniki fizyczne i polega na ciekawości lub chciwości ofiary. W tym ataku napastnicy pozostawiają zainfekowane złośliwym oprogramowaniem dyskietki , dyski CD-ROM lub dyski flash USB w miejscach, w których ludzie mogą je znaleźć (łazienki, windy, chodniki, parkingi itp.), opatrują je legalnymi i wzbudzającymi ciekawość etykietami oraz czekać na ofiary.

Na przykład osoba atakująca może utworzyć dysk z logo firmy, dostępnym na stronie internetowej celu, i oznaczyć go jako „Podsumowanie wynagrodzeń kadry kierowniczej w drugim kwartale 2012 r.”. Następnie atakujący pozostawia dysk na podłodze windy lub gdzieś w holu atakowanej firmy. Nieświadomy tego pracownik może go znaleźć i włożyć dysk do komputera, aby zaspokoić swoją ciekawość, lub dobry Samarytanin może go znaleźć i zwrócić firmie. sieci komputerowej atakowanej firmy .

O ile kontrole komputerowe nie blokują infekcji, wstawienie zagraża „automatycznie uruchamianemu” nośnikowi komputera. Można również użyć wrogich urządzeń. Na przykład „szczęśliwy zwycięzca” otrzymuje bezpłatny cyfrowy odtwarzacz audio , który zagraża każdemu komputerowi, do którego jest podłączony. „ Jabłko drogowe ” (potoczne określenie końskiego łajna , sugerujące niepożądany charakter urządzenia) to dowolny wymienny nośnik ze złośliwym oprogramowaniem pozostawiony w oportunistycznych lub rzucających się w oczy miejscach. Może to być dysk CD, DVD lub dysk flash USB , między innymi mediami. Ciekawscy ludzie biorą go i podłączają do komputera, infekując hosta i wszelkie podłączone sieci. Ponownie hakerzy mogą nadać im kuszące etykiety, takie jak „Wynagrodzenia pracowników” lub „Poufne”.

W jednym badaniu przeprowadzonym w 2016 roku badacze upuścili 297 dysków USB w kampusie University of Illinois. Dyski zawierały pliki, które prowadziły do ​​stron internetowych należących do badaczy. Naukowcy byli w stanie zobaczyć, na ilu dyskach były otwarte pliki, ale nie ile z nich zostało włożonych do komputera bez otwierania pliku. Spośród 297 dysków, które zostały odrzucone, 290 (98%) zostało odebranych, a 135 (45%) z nich „wezwano do domu”.

Coś za coś

Quid pro quo oznacza coś za coś :

• Atakujący dzwoni pod losowe numery firmy, twierdząc, że oddzwania z pomocy technicznej. W końcu ta osoba uderzy kogoś z uzasadnionym problemem, wdzięczna, że ​​ktoś oddzwoni, by jej pomóc. Atakujący „pomaga” rozwiązać problem, a przy okazji ma polecenia typu użytkownika, które dają atakującemu dostęp lub uruchamiają złośliwe oprogramowanie .
• W ankiecie dotyczącej bezpieczeństwa informacji z 2003 r . 91% pracowników biurowych przekazało naukowcom hasło w odpowiedzi na pytanie w ankiecie w zamian za tani długopis . Podobne badania w późniejszych latach dały podobne wyniki przy użyciu czekoladek i innych tanich przynęt, chociaż nie podjęto próby weryfikacji haseł.

Podążanie za ogonem

Atakujący, chcąc wejść do obszaru zastrzeżonego zabezpieczonego bezobsługową, elektroniczną kontrolą dostępu , np. kartą RFID , po prostu wchodzi za osobą, która ma legalny dostęp. Kierując się zwykłą uprzejmością, uprawniona osoba zwykle przytrzymuje drzwi napastnikowi lub sami napastnicy mogą poprosić pracownika, aby je otworzył. Osoba atakująca często udaje, że prowadzi rozmowę telefoniczną za pomocą telefonu komórkowego, aby zapobiec przesłuchaniu przez pracownika. Uprawniona osoba może nie poprosić o identyfikację z jednego z kilku powodów lub może zaakceptować twierdzenie, że atakujący zapomniał lub zgubił odpowiedni token tożsamości. Atakujący może również sfałszować akcję polegającą na przedstawieniu tokena tożsamości.

Inne rodzaje

Zwykłych oszustów zaufania lub oszustów można również uznać za „inżynierów społecznych” w szerszym znaczeniu, ponieważ celowo oszukują ludzi i manipulują nimi, wykorzystując ludzkie słabości w celu uzyskania osobistych korzyści. Mogą na przykład wykorzystywać techniki inżynierii społecznej w ramach oszustwa informatycznego.

Od początku XXI wieku inny rodzaj techniki inżynierii społecznej obejmuje fałszowanie lub hakowanie identyfikatorów osób posiadających popularne identyfikatory e-mail, takie jak Yahoo! , Gmaila lub Hotmaila . Ponadto niektóre próby podszywania się obejmowały wiadomości e-mail od głównych dostawców usług internetowych, takich jak PayPal . Doprowadziło to do „proponowanego standardu” Sender Policy Framework RFC 7208 z kwietnia 2014 r., W połączeniu z DMARC , jako środka do zwalczania fałszowania. Wśród wielu motywów tego oszustwa są:

• Wyłudzanie numerów kont kart kredytowych i ich haseł.
• Łamanie prywatnych wiadomości e-mail i historii czatów oraz manipulowanie nimi przy użyciu typowych technik edycji przed użyciem ich do wyłudzania pieniędzy i wzbudzania nieufności między osobami.
• Łamanie stron internetowych firm lub organizacji i niszczenie ich reputacji.
• Fałszywe wirusy komputerowe
• Przekonywanie użytkowników do uruchamiania złośliwego kodu w przeglądarce internetowej za pomocą ataku self-XSS w celu umożliwienia dostępu do ich konta internetowego

Innym rodzajem jest odczyt poufnych informacji z nieekranowanych lub niezabezpieczonych wyświetlaczy i urządzeń wejściowych, zwany surfowaniem po ramieniu .

Środki zaradcze

Organizacje zmniejszają ryzyko związane z bezpieczeństwem poprzez:

Szkolenie pracowników : Szkolenie pracowników w zakresie protokołów bezpieczeństwa odpowiednich dla ich stanowiska. (np. w sytuacjach takich jak tailgating, jeśli tożsamość osoby nie może zostać zweryfikowana, należy przeszkolić pracowników w zakresie uprzejmej odmowy).

Standardowe ramy : ustanowienie ram zaufania na poziomie pracownika/personelu (tj. określenie i przeszkolenie personelu, kiedy/gdzie/dlaczego/jak należy obchodzić się z informacjami wrażliwymi)

Analiza informacji : identyfikacja informacji wrażliwych i ocena ich narażenia na inżynierię społeczną i awarie systemów bezpieczeństwa (budynek, system komputerowy itp.)

Protokoły bezpieczeństwa : ustanowienie protokołów bezpieczeństwa, zasad i procedur postępowania z poufnymi informacjami.

Test zdarzeń : Wykonywanie niezapowiedzianych, okresowych testów ram bezpieczeństwa.

Inokulacja : zapobieganie inżynierii społecznej i innym oszukańczym sztuczkom lub pułapkom poprzez zaszczepienie oporu wobec prób perswazji poprzez narażenie na podobne lub pokrewne próby.

Przegląd : Regularne przeglądanie powyższych kroków: żadne rozwiązania zapewniające integralność informacji nie są doskonałe.

Gospodarka odpadami : Korzystanie z usług zarządzania odpadami, które mają kontenery na śmieci z zamkami, z kluczami do nich ograniczonymi tylko do firmy zajmującej się gospodarką odpadami i personelu sprzątającego. Umiejscowienie pojemnika na śmieci w miejscu widocznym dla pracowników, tak aby próba dostępu do niego wiązała się z ryzykiem wykrycia lub złapania, albo za zamkniętą bramą lub ogrodzeniem, przez które osoba musi przejść, zanim będzie mogła uzyskać dostęp do pojemnika na śmieci.

Cykl życia inżynierii społecznej

1. Zbieranie informacji : Zbieranie informacji jest pierwszym i najważniejszym etapem cyklu życia. Wymaga to dużo cierpliwości i uważnego obserwowania nawyków ofiary. Ten krok polega na zbieraniu danych o zainteresowaniach ofiary, danych osobowych . Określa wskaźnik sukcesu całego ataku.
2. Nawiązanie kontaktu z ofiarą : Po zebraniu wymaganej ilości informacji atakujący płynnie rozpoczyna rozmowę z ofiarą, tak aby ofiara nie znalazła niczego niewłaściwego.
3. Atakowanie : ten krok zwykle ma miejsce po długim okresie interakcji z celem i podczas tego okresu informacje od celu są pobierane za pomocą inżynierii społecznej. W fazie atakujący otrzymuje wyniki od celu.
4. Zamykanie interakcji : Jest to ostatni krok, który obejmuje powolne zamykanie komunikacji przez atakującego bez wzbudzania podejrzeń u ofiary. W ten sposób motyw zostaje spełniony, a ofiara rzadko zdaje sobie sprawę, że atak w ogóle miał miejsce.

Znani inżynierowie społeczni

Frank Abagnale Jr.

Frank Abagnale Jr. jest amerykańskim konsultantem ds. bezpieczeństwa, znanym jako były oszust, fałszerz czeków i oszust w wieku od 15 do 21 lat. ponad osiem tożsamości, w tym pilot linii lotniczych, lekarz, agent US Bureau of Prisons i prawnik. Abagnale dwukrotnie uciekł z aresztu policyjnego (raz z kołującego samolotu i raz z więzienia federalnego USA), zanim skończył 22 lata. Popularny film Stevena Spielberga Złap mnie, jeśli potrafisz jest oparty na jego życiu.

Kevina Mitnicka

Kevin Mitnick jest amerykańskim konsultantem ds. bezpieczeństwa komputerowego , autorem i hakerem , najlepiej znanym z głośnego aresztowania w 1995 r., a później pięcioletniego wyroku skazującego za różne przestępstwa komputerowe i związane z komunikacją.

Susan Headley

Susan Headley była amerykańską hakerką działającą w późnych latach 70. i wczesnych 80. XX wieku, powszechnie szanowaną za swoją wiedzę z zakresu inżynierii społecznej, pretekstowania i dywersji psychologicznej . Była znana ze swojej specjalizacji w włamywaniu się do wojskowych systemów komputerowych, co często wiązało się z pójściem do łóżka z personelem wojskowym i przeszukiwaniem ich ubrań w poszukiwaniu nazw użytkowników i haseł podczas snu. Mocno zaangażowała się w phreaking z Kevinem Mitnickiem i Lewisem de Payne w Los Angeles , ale później wrobił ich w wymazanie plików systemowych w US Leasing po kłótni, co doprowadziło do pierwszego skazania Mitnicka. Odeszła do profesjonalnego pokera.

Jamesa Lintona

James Linton jest brytyjskim hakerem i inżynierem społecznym, który w 2017 roku wykorzystał techniki OSINT i spear phishing, aby oszukać różne cele za pośrednictwem poczty elektronicznej, w tym dyrektorów generalnych dużych banków i członków administracji Białego Domu Trumpa. Następnie zajął się bezpieczeństwem poczty e-mail, gdzie przeprowadzał socjotechniczne ataki BEC (Business Email Compromise) w celu zebrania konkretnych informacji o zagrożeniach.

Mike'a Ridpatha

Mike Ridpath Konsultant ds. bezpieczeństwa, autor publikacji i mówca. Poprzedni członek w00w00 . Kładzie nacisk na techniki i taktyki socjotechniki na zimno . Stał się znany po swoich rozmowach, w których odtwarzał nagrane rozmowy i wyjaśniał swój proces myślowy na temat tego, co robi, aby uzyskać hasła przez telefon i demonstracje na żywo. Jako dziecko Ridpath był związany z Badir Brothers i był szeroko znany w phreaków i hakerów dzięki swoim artykułom w popularnych podziemnych e-zinach , takich jak Phrack, B4B0 i 9x w zakresie modyfikacji Oki 900, blueboxingu, hakowania satelitarnego i RCMAC.

Bracia Badir

Izraelu stworzyć szeroko zakrojony program oszustw telefonicznych i komputerowych, wykorzystując socjotechnikę, podszywanie się pod głos i komputery z wyświetlaczami Braille'a .

Christophera J. Hadnagy'ego

Christopher J. Hadnagy jest amerykańskim inżynierem społecznym i konsultantem ds. bezpieczeństwa technologii informatycznych. Najbardziej znany jest jako autor 4 książek o inżynierii społecznej i bezpieczeństwie cybernetycznym oraz założyciel Innocent Lives Foundation, organizacji, która pomaga śledzić i identyfikować handel dziećmi przy użyciu różnych technik bezpieczeństwa, takich jak szukanie pomocy specjalistów ds. wywiad źródłowy (OSINT) i współpraca z organami ścigania.

Prawo

W prawie zwyczajowym pretekstowanie jest naruszeniem prywatności deliktem przywłaszczenia.

Pretekstowanie zapisów telefonicznych

W grudniu 2006 roku Kongres Stanów Zjednoczonych zatwierdził sponsorowaną przez Senat ustawę, zgodnie z którą podawanie nagrań telefonicznych pod pretekstem jest przestępstwem federalnym, za które grozi grzywna w wysokości do 250 000 USD i dziesięć lat więzienia dla osób fizycznych (lub grzywny do 500 000 USD dla firm). Został podpisany przez prezydenta George'a W. Busha w dniu 12 stycznia 2007 r.

Ustawodawstwo federalne

„GLBA” z 1999 r. to prawo federalne Stanów Zjednoczonych , które w szczególności odnosi się do podrabiania dokumentacji bankowej jako nielegalnego czynu podlegającego karze na mocy ustaw federalnych. Kiedy podmiot gospodarczy, taki jak prywatny detektyw, śledczy ubezpieczeniowy SIU lub likwidator, dokonuje jakiegokolwiek oszustwa, podlega zwierzchnictwu Federalnej Komisji Handlu (FTC). Ta agencja federalna ma obowiązek i uprawnienia do zapewnienia, że ​​konsumenci nie są narażeni na żadne nieuczciwe lub oszukańcze praktyki biznesowe. Ustawa o Federalnej Komisji Handlu Stanów Zjednoczonych, sekcja 5 FTCA stanowi częściowo: „Kiedykolwiek Komisja ma powody, by sądzić, że jakakolwiek taka osoba, spółka osobowa lub korporacja stosowała lub stosuje jakąkolwiek nieuczciwą metodę konkurencji albo nieuczciwe lub oszukańcze działanie lub praktykę w handlu lub mającą na niego wpływ, i jeśli okaże się, że Komisji, że postępowanie w tej sprawie będzie leżało w interesie publicznym, wyda i doręczy takiej osobie, spółce osobowej lub korporacji skargę zawierającą jej zarzuty w tym zakresie”.

Ustawa stanowi, że gdy ktoś uzyska jakiekolwiek dane osobowe, niepubliczne od instytucji finansowej lub konsumenta, jego działanie podlega ustawie. Odnosi się do relacji konsumenta z instytucją finansową. Na przykład, pretexter używający fałszywych pretekstów, aby uzyskać adres konsumenta z banku konsumenta lub skłonić konsumenta do ujawnienia nazwy jego banku, byłby objęty ochroną. Decydującą zasadą jest to, że pretekstowanie występuje tylko wtedy, gdy informacje są uzyskiwane pod fałszywym pretekstem.

Podczas gdy sprzedaż zapisów telefonów komórkowych zyskała znaczną uwagę mediów, a zapisy telekomunikacyjne są przedmiotem dwóch projektów ustaw rozpatrywanych obecnie w Senacie Stanów Zjednoczonych , na rynku publicznym kupuje się i sprzedaje wiele innych rodzajów zapisów prywatnych. Oprócz wielu reklam rekordów telefonów komórkowych, reklamowane są rekordy przewodowe i rekordy związane z kartami telefonicznymi. Ponieważ ludzie przechodzą na telefony VoIP, można bezpiecznie założyć, że te płyty również zostaną wystawione na sprzedaż. Obecnie sprzedaż nagrań telefonicznych jest legalna, ale nielegalne jest ich pozyskiwanie.

Specjaliści ds. informacji pierwszego źródła

Przedstawiciel USA Fred Upton (R- Kalamazoo , Michigan), przewodniczący Podkomisji ds. Energii i Handlu ds. Telekomunikacji i Internetu, wyraził zaniepokojenie łatwym dostępem do zapisów osobistych telefonów komórkowych w Internecie podczas przesłuchania Komisji Izby ds. Energii i Handlu w dniu „ Rejestry rozmów telefonicznych na sprzedaż: dlaczego nie można ich zabezpieczyć przed pretekstem? ” Illinois stał się pierwszym stanem, który pozwał internetowego brokera nagrań, kiedy prokurator generalna Lisa Madigan pozwała 1st Source Information Specialists, Inc. Rzeczniczka biura Madigana powiedziała. Zgodnie z kopią pozwu firma z Florydy prowadzi kilka witryn internetowych, które sprzedają zapisy z telefonów komórkowych. Prokuratorzy generalni Florydy i Missouri szybko poszli w ślady Madigana, składając odpowiednio pozwy przeciwko 1st Source Information Specialists oraz, w przypadku Missouri, jeszcze jednemu brokerowi danych – First Data Solutions, Inc.

Kilku dostawców usług bezprzewodowych, w tym T-Mobile, Verizon i Cingular, złożyło wcześniejsze pozwy przeciwko brokerom nagrań, a Cingular wygrał nakaz sądowy przeciwko First Data Solutions i 1st Source Information Specialists. Amerykański senator Charles Schumer (D-Nowy Jork) wprowadził w lutym 2006 r. przepisy mające na celu ograniczenie tej praktyki. Ustawa o ochronie nagrań telefonicznych konsumentów z 2006 r. wprowadziłaby sankcje karne za kradzież i sprzedaż danych abonentów telefonów komórkowych, stacjonarnych i Voice over Internet Protocol (VoIP).

Hewlett Packard

Patricia Dunn , była przewodnicząca Hewlett Packard, poinformowała, że ​​zarząd HP wynajął prywatną firmę dochodzeniową w celu ustalenia, kto jest odpowiedzialny za przecieki wewnątrz zarządu. Dunn przyznał, że firma wykorzystywała praktykę pretekstu do pozyskiwania danych telefonicznych członków zarządu i dziennikarzy. Przewodniczący Dunn później przeprosił za ten czyn i zaproponował ustąpienie z zarządu, jeśli członkowie zarządu sobie tego życzą. W przeciwieństwie do prawa federalnego, prawo Kalifornii wyraźnie zabrania takiego pretekstowania. Cztery zarzuty popełnienia przestępstwa postawione Dunnowi zostały oddalone.

Środki zapobiegawcze

Zachowanie pewnych środków ostrożności zmniejsza ryzyko bycia ofiarą oszustw socjotechnicznych. Środki ostrożności, jakie można zastosować, są następujące:

• Uważaj na oferty, które wydają się „zbyt piękne, aby były prawdziwe”.
• Użyj uwierzytelniania wieloskładnikowego.
• Unikaj klikania załączników z nieznanych źródeł.
• Nieudostępnianie informacji osobistych lub finansowych (takich jak dane karty kredytowej, numery ubezpieczenia społecznego lub informacje o koncie bankowym) komukolwiek za pośrednictwem poczty elektronicznej, telefonu lub wiadomości tekstowych.
• Korzystanie z oprogramowania do filtrowania spamu .
• Unikaj zaprzyjaźniania się z ludźmi, których nie znasz w prawdziwym życiu.
• Naucz dzieci, aby kontaktowały się z zaufaną osobą dorosłą na wypadek, gdyby były zastraszane przez Internet ( cybernękanie ) lub czuły się zagrożone przez cokolwiek w Internecie.
• Nie podejmuj natychmiastowych decyzji, ale jeśli to możliwe, poświęć 5 minut na ocenę przedstawionych informacji.

Zobacz też

• Certyfikowany Specjalista ds. Zapobiegania Inżynierii Społecznej (CSEPS)
• Code Shikara – robak komputerowy
• Sztuczka zaufania - Próba oszukania osoby lub grupy po zdobyciu ich zaufania
• Środek zaradczy (komputer) — proces mający na celu zmniejszenie zagrożenia bezpieczeństwa
• Cyber-HUMINT – Zestaw umiejętności wykorzystywanych przez hakerów cyberprzestrzeni
• Cyberheist – Atak na system komputerowy Strony wyświetlające krótkie opisy celów przekierowań
• Teoria szczepienia - jak postawy ludzi mogą opierać się zmianom poprzez słabe ekspozycje kontrargumentów
• Szkolenie w zakresie świadomości bezpieczeństwa w Internecie — szkolenie mające na celu zwiększenie świadomości w zakresie cyberbezpieczeństwa. Strony wyświetlające opisy wikidanych jako rezerwowe
• Ryzyko IT – Każde ryzyko związane z technologią informatyczną
• Wybryk medialny - rodzaj wydarzeń medialnych, które często wykorzystują podobne taktyki (choć zwykle nie w celach przestępczych)
• Test penetracyjny – Metoda oceny bezpieczeństwa komputera i sieci poprzez symulację cyberataku
• Phishing — próba nakłonienia osoby do ujawnienia informacji
• Fizyczne bezpieczeństwo informacji — wspólna podstawa bezpieczeństwa fizycznego i informacji
• Piggybacking (bezpieczeństwo) - uzyskaj dostęp do obszaru o ograniczonym dostępie lub przejdź przez określony punkt kontrolny, oznaczając się razem z inną upoważnioną osobą Strony wyświetlające opisy danych wiki jako rozwiązanie awaryjne
• Phishing SMS – próba nakłonienia osoby do ujawnienia informacji Strony wyświetlające krótkie opisy celów przekierowania
• Zagrożenie (komputer) — Potencjalne negatywne działanie lub zdarzenie wywołane przez lukę w zabezpieczeniach
• Phishing głosowy – Atak phishingowy za pośrednictwem telefonu
• Luka w zabezpieczeniach (przetwarzanie) - Słabość, którą można wykorzystać w systemie komputerowym
• Świadomość bezpieczeństwa cybernetycznego

Dalsza lektura

Linki zewnętrzne

• Podstawy inżynierii społecznej – Securityfocus.com . Źródło 3 sierpnia 2009 r.
• „Inżynieria społeczna, sposób USB” . Light Reading Inc. 7 czerwca 2006 r. Zarchiwizowane od oryginału w dniu 13 lipca 2006 r . Źródło 23 kwietnia 2014 r .
• Czy inżynieria społeczna powinna być częścią testów penetracyjnych? – Darknet.org.uk . Źródło 3 sierpnia 2009 r.
• „Ochrona danych telefonicznych konsumentów” , Elektroniczne Centrum Informacji o Prywatności Amerykański Komitet ds. Handlu, Nauki i Transportu . Źródło 8 lutego 2006 r.
• Plotkin, Hal. Notatka dla prasy: Pretekstowanie jest już nielegalne . Źródło 9 września 2006 r.