Video: Arkitektur | NTNU (Oktober 2024)
Sosialteknikk er det som driver phishing-e-post og ondsinnede nettsteder som er kledd ut for å se ut som sikre, populære nettsteder. Under en diskusjon med Chris Hadnagy, Chief Human Hacker i Social-Engineer Inc., spurte jeg ham hvordan jeg skulle få øye på disse svindlene. Rådene hans gjengjelder det vi ofte har fortalt leserne: vær alltid mistenksomme.
Mer enn en Con
Fra min diskusjon med Hadnagy er det tydelig at noe av det vi kaller sosialteknikk, er de samme triksene som folk har brukt innflytelsesvedtak i årevis. Hurtigmatindustrien for eksempel utforsket kjent hvilke farger som ville oppmuntre folk til å spise raskere. Falske spirituelle fra 1800-tallet (som inkluderer familiemedlemmer) og bruker i dag en taktikk kalt "kaldlesing" for å lure ofre til å avsløre informasjon om seg selv.
Men det er mer til sosialteknikk enn billige triks, som demonstrert av Social Engineering Capture the Flag Competition avholdt på Def Con. Her tjener deltakere poeng for informasjon de samler inn fra å forske på selskaper og fra å kontakte disse selskapene direkte. Hadnagy sa at de best scorede deltakerne også gjorde mest research, noe som viser hvor nyttig det er å kjenne målene dine.
Dessverre er det et flott tidspunkt å være sosialingeniør som forsker eller samle informasjon om åpen kildekode. Hadnagy forklarte at selskaper og enkeltpersoner legger ut mye informasjon på sosiale medier, hvorav mye kan brukes i sosiale ingeniørangrep. Tidligere så vi på hvordan svindlere prøvde å bruke informasjon hentet fra Facebook for å få svindelen til å virke mer tiltalende - noen ganger med morsomme resultater.
Målretting av følelser
En av de beste sosialtekniske taktikkene er å forhindre deg i å tenke kritisk, vanligvis ved å målrette følelser. Hadnagy sa at det ene angrepet som nesten lurte ham hevdet å være en Amazon-frakt-e-post. "Det var noe personlig, noe som påvirket livet mitt, og noe som var viktig for meg, " sa han.
I dette spesielle angrepet mottok Hadnagy en e-post der de sa at en av hans viktige Amazon-bestillinger ble forsinket på grunn av et avvist kredittkortnummer. I dagene frem til en større konferanse sa Hadnagy at han var overarbeidet og klikket på lenken i e-posten - i stedet for å besøke Amazon direkte. Siden han ble hentet til var godt laget, men heldigvis la han merke til ".ru" -domenet før han skrev inn noen personlig informasjon.
Selv om det var enkelt, var denne taktikken veldig effektiv. "Jeg er fyren som på grunn av det jeg gjør, phished over 190 000 mennesker i løpet av de siste månedene, " sa Hadnagy og refererte til konsulentarbeidet sitt. "Jeg falt nesten for dette angrepet."
En annen fordel med å appellere til følelser er at det ikke krever den typen forskning de beste sosiale ingeniørene har ansatt. "Det vi får se er å velge ting som er viktige for massene." Hadnagy forklarte at dette inkluderer UPS-frakt, Amazon-ordre og PayPal-overføringer.
Masse appell fungerer også bra for kringkasting av en masse, en annen hyppig taktikk. "De sender disse til millioner av mennesker om gangen, så de bryr seg ikke om de får 100 prosent, " sa Hadnagy. "10 prosent er fremdeles tusenvis av kompromitterte kontoer."
Forbli trygg
Mange av taktikkene som brukes for å oppdage phishing-e-poster, gjelder også for sosialteknikk. Alt som høres for godt ut til å være sant - eller for dårlig til å være sant - er sannsynligvis ikke sant. Taktikker som å sveve over lenker for å se hele URL-adressen, manuelt legge inn web-adresser og unngå koblinger som kommer ut av det blå, er alt lydtaktikk.
Men den direktesendte delen av Capture the Flag-konkurransen fremhever en annen fasett av samfunnsingeniør: institusjonell tillit. I år stilte mange av deltakerne seg som kolleger eller leverandører, noe som ga de ansatte hos målselskapene en umiddelbar grunn til å stole på dem. Noen ganger lønner det seg å stille spørsmål når noen som hevder å være administrerende direktør i selskapet ditt ringer deg personlig.
Hadnagy har gjort en karriere som forklarer samfunnsingeniør, men han er ikke bekymret for angripere som plukker opp triksene hans. "Skurkene leter ikke etter dataene om hvordan du gjør dette, " sa han til SecurityWatch. "De vet allerede hvordan. Problemet er at de gode gutta ikke gjør det." Gjennom sitt arbeid tror Hadnagy at han kan lære bedrifts-Amerika og vanlige mennesker hvordan man tenker kritisk om deres daglige interaksjoner, og hvordan man kan svare i verste fall. Hadnagy forklarte det på denne måten: "I stedet for å bevæpne skurkene, bevæpner det de gode gutta."
Bilde via Flickr-bruker Travis V.
