Video: Tyyntä myrskyn edellä - Osa 5 - Jakso 3/3 - Kuinka tämä kaikki on mahdollista? (Lokakuu 2024)
Sosiaalitekniikka on se, mikä valvoo tietojenkalastelusähköposteja ja haitallisia verkkosivustoja, jotka on valmistettu näyttämään turvallisilta, suosituilta verkkosivustoilta. Keskustellessani Social-Engineer Inc. -yrityksen pää-inhimillisen hakkerin Chris Hadnagyin kanssa kysyin häneltä, miten nämä huijaukset havaitaan. Hänen neuvoja toistavat sen, mitä olemme usein sanoneet lukijoille: ole aina epäluuloinen.
Enemmän kuin Con
Keskusteluistani Hadnagyn kanssa on selvää, että jotkut siitä, mitä kutsumme sosiaalisuunnitteluun, ovat samoja temppuja, joita ihmiset ovat käyttäneet vaikuttamispäätöksiin vuosien ajan. Esimerkiksi pikaruokateollisuus tutki kuuluisasti, mitkä värit kannustavat ihmisiä syömään nopeammin. 1800-luvun vilpilliset hengelliset (mukaan lukien perheeni jäsenet) ja käyttävät nykyään "kylmälukemista" kutsuttua taktiikkaa huijatakseen uhrit paljastamaan tietoja itsestään.
Mutta sosiaalisessa suunnittelussa on enemmän kuin halpoja temppuja, kuten osoittaa Def Con -tapahtumassa järjestetyn Social Engineering Capture the Flag -kilpailun avulla. Tässä kilpailijat ansaitsevat pisteitä hankkimastaan tiedosta, joka saadaan tutkivilta yrityksiltä ja ottamalla suoraan yhteyttä näihin yrityksiin. Hadnagy kertoi, että parhaat pisteytyskilpailijat tekivät myös eniten tutkimusta, mikä osoittaa, kuinka hyödyllistä on tietää tavoitteesi.
Valitettavasti on nyt hyvä aika olla sosiaalinen insinööri tekemässä tutkimusta tai avoimen lähdekoodin tiedonkeruuta. Hadnagy selitti, että yritykset ja yksityishenkilöt lähettävät paljon tietoa sosiaaliseen mediaan, josta suurta osaa voidaan käyttää sosiaalisen suunnittelun hyökkäyksissä. Aikaisemmin tarkastelimme kuinka huijarit yrittivät käyttää Facebookista kerättyjä tietoja saadakseen huijaukset näyttämään houkuttelevammalta - joskus hienoilla tuloksilla.
Kohdentaminen tunneisiin
Yksi parhaimmista sosiaalisen suunnittelun taktiikoista on estää sinua ajattelemasta kriittisesti, yleensä kohdistamalla tunteita. Hadnagy kertoi, että yksi hyökkäys, joka hämärsi häntä, väitti olevansa Amazonin lähetyssähköposti. "Se oli jotain henkilökohtaista, jotain, joka vaikutti elämääni, ja jotain, joka oli minulle tärkeä", hän sanoi.
Tässä erityisessä hyökkäyksessä Hadnagy sai sähköpostiviestin, jonka mukaan yksi hänen tärkeistä Amazon-tilauksistaan viivästyi luottokorttinumeron hylkäämisen vuoksi. Suuriin konferensseihin johtaneina päivinä Hadnagy kertoi olleensa ylityöllistetty ja napsautti sähköpostissa olevaa linkkiä sen sijaan, että vieralisi suoraan Amazonissa. Sivu, johon hänet ohjasi, oli hyvin muotoiltu, mutta onneksi hän huomasi.ru-verkkotunnuksen ennen henkilökohtaisten tietojen syöttämistä.
Vaikka tämä oli yksinkertainen, tämä taktiikka oli erittäin tehokas. "Minä olen se kaveri, joka tekemäni työn vuoksi on kaatanut yli 190 000 ihmistä viime kuukausina", sanoi Hadnagy viitaten konsultointityöhönsä. "Olen melkein pudonnut tästä hyökkäyksestä."
Toinen tunne-vetoomuksen etu on, että se ei vaadi sellaista tutkimusta, jota parhaat sosiaalisissa insinööreissä käytetään. "Mitä näemme on, että poimitaan asioita, jotka ovat tärkeitä massoille." Hadnagy selitti, että tähän sisältyy UPS-lähetys, Amazon-tilaukset ja PayPal-siirrot.
Joukkovetoomus toimii myös hyvin yleislähetyksessä, joka on toinen yleinen taktiikka. "He lähettävät nämä miljoonille ihmisille kerrallaan, joten he eivät välitä siitä, saavatko he 100 prosenttia", sanoi Hadnagy. "10 prosenttia on edelleen tuhansia vaarantuneita tilejä."
Pysyminen turvassa
Monet tietojenkalasteluviestien havaitsemiseksi käytetyistä taktiikoista ovat totta myös sosiaalisuunnittelussa. Se, mikä kuulostaa liian hyvältä ollakseen totta - tai liian pahalla ollakseen totta - ei todennäköisesti ole totta. Taktiikat, kuten hiiren siirtäminen linkkien päälle nähdäksesi täydellisen URL-osoitteen, Web-osoitteiden manuaalinen syöttäminen ja sinisestä ulos tulevien linkkien välttäminen, ovat kaikki äänitaktiikoita.
Mutta Capture the Flag -kilpailun live-kutsuosio korostaa sosiaalisen suunnittelun toista puolta: instituutioiden luottamusta. Tänä vuonna monet kilpailijat poseeraavat työtovereina tai myyjinä, mikä antoi kohdeyritysten työntekijöille välittömän syyn luottaa heihin. Joskus kannattaa kysyä kysymyksiä, kun joku, joka väittää olevansa yrityksen toimitusjohtaja, soittaa sinulle henkilökohtaisesti.
Hadnagy on tehnyt uran selittääkseen sosiaalitekniikkaa, mutta hän ei ole huolissaan siitä, hyökkääjät noutavat hänen temppujaan. "Pahat pojat eivät etsi tietoja siitä, miten tämä tehdään", hän kertoi SecurityWatchille. "He tietävät jo kuinka. Ongelmana on, että hyvät kaverit eivät." Hadnagy uskoo työnsä kautta, että hän voi opettaa yritystoiminta-Amerikassa ja säännöllisillä ihmisillä ajattelemaan kriittisesti heidän päivittäistä vuorovaikutustaan ja miten reagoimaan pahimmassa tapauksessa. Hadnagy selitti sen tällä tavalla: "Sen sijaan, että aseistaan pahat pojat, se aseistaa hyvät kaverit."
Kuva Flickrin käyttäjän Travis V: n kautta
