Társadalomépítés - Az emberek hackelésének művészete

A társadalmi mérnöki tevékenység az a tény, hogy valakit manipulálnak információk nyilvánosságra hozatalával, vagy olyan cselekedetekkel, amelyek általában nem az ő érdekei. Ebben a cikkben megvizsgálunk néhány általános módszert, amellyel a Social Engineers megpróbálja manipulálni Önt.

Jogi nyilatkozat: Cikkeim pusztán oktató jellegűek. Ha elolvassa őket, és kárt okoz valakinek, az rajtatok áll. Nem ösztönzök rosszindulatú tevékenységet vagy fekete kalapos gyakorlatot. Olvassa el az etikai kódexet itt.

Az átverés egyik gyakori típusa a spanyol fogoly, amely a 18. századra nyúlik vissza, és rengeteg modern inkarnációval rendelkezik.

Ez általában valakit érint, aki bajban van, és segítségére van szüksége a vagyon eléréséhez. Csak át kell fizetnie néhány ezer dollárt, akkor tízszeresen fizetnek vissza. De kitalálhatja, hogyan ér véget ezzel.

Vannak hasonló csalások, amelyek az internetet terjesztették: az IRS-csalás, a Lottó-csalások stb. Ezeket nagyjából az Advance offer csalások közé sorolják. Valami vár rád, de előlegként fizetned kell, hogy megkapd.

Az átlagember számára ezek rosszul végrehajtott átverési támadásoknak tűnnek. De ezek a csalások emberek ezreit vesztették el nehezen megkeresett pénzüket. Bizonyos esetekben életmegtakarításaik.

Ezek mind példák a társadalmi mérnöki működésre.

A szociális mérnöki elképzelés az, hogy kihasználják a potenciális áldozat természetes hajlamait és érzelmi reakcióit. A félelem és a kapzsiság a legkiszolgáltatottabb érzelmek, amelyeket általában a szociális mérnökök használnak ki.

Az alábbiakban bemutatjuk a valós társadalmi támadás nagyszerű példáját.

A szociális mérnöki támadások típusai

A társadalmi tervezés nagyjából ötféle támadásba sorolható a célpont manipulálásához alkalmazott megközelítés típusa alapján. Menjünk át mindegyiken.

Spamelés (e-mail, szöveg, WhatsApp)

A spamelés magában foglalja az üzenetek küldését olyan emberek nagy csoportjai számára, akiknek kapcsolattartási adatait általában aljas módszerekkel szerzik be. A spamelés egy általános kifejezés, amelyet a rosszindulatú és a nem rosszindulatú üzenetek közvetítésének definiálására használnak.

A nem rosszindulatú spameket azok a hirdetők használják, akik tömeges e-mailben próbálják termékeiket véletlenszerű idegenek számára népszerűsíteni. Indítékuk nem az, hogy kárt okozzanak, hanem az, hogy megpróbálják rávenni az embereket, hogy vásárolják meg termékeiket vagy népszerűsítsék szolgáltatásaikat.

A rosszindulatú spamelés olyan üzeneteket tartalmaz, amelyek megpróbálják a felhasználókat a támadó webhelyére csábítani, hogy személyes adatokat közöljenek. Ezt az információt ezután felhasználják a potenciális áldozat elleni célzott adathalász / vishing támadások létrehozására.

Adathalászat (és Vishing)

Amikor a támadó szöveges üzenetküldést, e-mailt vagy hanghívást használ (hangadathalászat = láthatatlan), akkor ezt adathalásznak hívják.

Az adathalászat arra használja fel, hogy a célpont elhitesse velük, hogy törvényes intézmény vagy entitás hívja őket, hogy értékes információkat nyerjen ki a célpontból.

Ha valaki úgy hívja az Ön cégét, hogy a nyomtató beszállítójának színleli magát, akkor konkrét információkat kaphat a nyomtatóról - a modellről, az IP-címről (ha csatlakozik az internethez) stb.

És miután megadta ezeket az információkat, előfordulhat, hogy a nyomtatót megtámadják, hogy hozzáférjen a belső hálózathoz.

Az e-mail alapú adathalász támadások szintén gyakoriak. A támadó e-mailt küldhet valakinek a vállalatában, úgy, mintha Facebook lenne. Amint a csapattag rákattint egy linkre, egy olyan oldalra kerül, amely úgy néz ki, mint a Facebook, és megkéri tőlük a bejelentkezési adatait. Ezt a bejelentkezési információt elküldjük a támadó szerverére, amely után teljes hozzáférést kapnak az áldozat Facebook-fiókjához.

Az adathalászat és a csalás közötti fő különbség az, hogy az adathalász támadások célzottak. A támadó tudja, kit akar támadni, és milyen típusú információt keres.

Beetetés

A csalit egy csapda megtervezésével és annak megvárásával várják, hogy a potenciális áldozat besétáljon a csapdába. Egyszerű példa: ha egy támadó ledob néhány USB-meghajtót a vállalata parkolójába, akkor valószínűleg az egyik alkalmazottja megpróbálja csatlakoztatni a számítógépéhez, hogy ellenőrizze az USB-meghajtó tartalmát.

Ez butának tűnhet, de számos olyan eset volt, amikor a Social Engineers egyszerű trükkjei hatalmas vállalati adatok megsértését eredményezték. Általában könnyű olyan csalásokkal csalogatni az embereket, mint például az Advance, amelyek még mindig az interneten mozognak, hiszékeny emberekből táplálkoznak.

A csalás másik gyakori típusa a kalóz szoftverekben található. A támadó rosszindulatú szoftvert ágyaz be egy népszerű operációs rendszerbe vagy egy filmet az áldozat számára letöltésre. Amint az áldozat letölti és futtatja a szoftvert, a rosszindulatú kód végrehajtódik az áldozat rendszerén, és a támadó teljes hozzáférést kap az áldozat gépéhez.

PiggyBacking

A PiggyBacking azt jelenti, hogy valaki mást használ fel egy potenciális áldozat megtámadására. A támadó egy harmadik felet (általában ártatlan) fog igénybe venni, aki hozzáfér az áldozathoz, hogy hozzákapcsolt támadást hajtson végre.

A Piggybackingnek sok változata van. Ha egy támadó a belépőkártyájával követi az alkalmazottat az irodájába, ez a piggybacking egyik formája, az úgynevezett tailgating.

Sok esetben hozzákapcsolt támadásokat, különösen a minősített információkhoz. Azok a szállító vállalatok, amelyek hardvereket / szoftvereket szállítanak a kormányzati szervezetek számára, általában a piggybacking támadások célpontjai.

Miután ezek a szállítók veszélybe kerültek, könnyű megtámadni a célintézményt, mivel a szállító már rendelkezik bizonyos szintű hozzáféréssel a célhoz.

A piggybacking az aktív lehallgatás egyes formáihoz is társul. A támadó az áldozat törvényes kapcsolatát használja a hálózat lehallgatása érdekében.

Nemrég írtam egy cikket a Wiresharkról, amelyet érdekesnek találhat.

Víztartó

A Water Holing figyelembe veszi a célpont rutinszerű cselekedeteit, és ezek egyikének használatával jogosulatlan hozzáférést szerez. Például egy támadó megtalálja azokat a webhelyeket, amelyeket a célszemély naponta használ, és megpróbál rosszindulatú programokat telepíteni ezekre a webhelyekre.

A „Water Holing” elnevezés onnan ered, hogy a vadon élő ragadozók gyakran a közös öntözőlyukak közelében várják a zsákmányukat.

Példa erre a 2019-es Szent Víz kampány, amely ázsiai vallási és jótékonysági csoportokat célzott meg. A webhely veszélybe került, amely után a látogatókat arra kérték, hogy telepítsék az Adobe Flash alkalmazást böngészőikbe.

Mivel az Adobe Flash számos sebezhetőséggel rendelkezik, a támadóknak könnyű volt azután rosszindulatú kódot végrehajtaniuk az áldozat gépein. Az öntözőlyukak támadásai nem gyakoriak, de jelentős fenyegetést jelentenek, mivel nagyon nehéz őket felismerni.

Védje magát a szociális mérnököktől

Most, hogy láttuk a szociális mérnökök által alkalmazott különböző típusú megközelítéseket, nézzük meg, hogyan védhetjük meg magunkat és szervezetünket a társadalmi mérnöki támadások ellen.

Telepítse az e-mail és spamszűrőket

Noha a spamszűrők nem képesek elkapni erősen célzott támadásokat, megakadályozzák, hogy a spam és a rosszindulatú e-mailek többsége elérje fiókját.

Tartsa naprakészen a víruskeresőt és a tűzfalat

A spamszűrőkhöz hasonlóan a frissített víruskereső szoftver megvédi a legtöbb vírust, trójai programot és rosszindulatú programot.

Kérjen igazolást

Mindig kérjen igazolást, ha valaki felhívja Önt, hogy egy szervezetet képvisel, például a bankját. Soha ne ossza meg bizalmas adatokat, például hitelkártyaszámokat vagy jelszavakat telefonon vagy e-mailben.

Teremtsen tudatosságot

A szervezet kihasználásának megakadályozásának legjobb módja az, ha biztonságtudatossági programokat hoz létre. Az alkalmazottak oktatása nagyszerű hosszú távú befektetés a vállalat biztonságának megőrzése érdekében.

Ha túl jónak tűnik, hogy igaz legyen, akkor az

Végül, ha valami túl jól hangzik ahhoz, hogy igaz legyen, általában az is. Soha ne bízzon idegenekben, akik azt ígérik, hogy gyorsan meggazdagodnak. Ahogy valaki egyszer mondta: „a gyors meggazdagodás a leggyorsabb módja az összes pénz elvesztésének”.

Következtetés

A szociális mérnökök a manipuláció mesterei. Hacsak a vállalat alkalmazottainak képzése nincs a társadalmi mérnöki tudatosság terén, nagyon nehéz elkerülniük, hogy társadalmi mérnök csapdájába essenek.

A szociális mérnökök az emberek érzelmeivel dolgoznak, általában félelemmel és kapzsisággal. Tehát bármikor, amikor e két érzelem alapján hajt végre műveletet, érdemes visszalépnie és megnéznie, hogy manipulálják-e.

Van egy híres TED-beszélgetés, ahol valaki egy spammerrel kezdett beszélgetést. Nézze meg a teljes videót itt.

Minden hétfő reggel összefoglalót kaphat az e-mailre elküldött cikkeimről és videóimról. Itt többet is megtudhat rólam .