Video: I'M POPPY! (Oktober 2024)
Socialni inženiring omogoča tiskanje e-poštnih sporočil in zlonamerna spletna mesta, ki so oblikovana tako, da so videti kot varna in priljubljena spletna mesta. Med pogovorom s Chrisom Hadnagyjem, šefom človeškega hekerja družbe Social-Engineer Inc., sem ga vprašal, kako odkriti te prevare. Njegovi nasveti odmevajo tisto, kar smo bralcem pogosto povedali: bodite vedno sumljivi.
Več kot kon
Iz moje razprave s Hadnagyjem je jasno, da so nekateri, kar imenujemo socialni inženiring, enaki triki, na katere ljudje že leta vplivajo na odločitve. Industrija hitre hrane je na primer odlično raziskovala, katere barve bi spodbudile ljudi k hitrejšemu prehranjevanju. Lažni duhovniki iz 19. stoletja (ki vključujejo člane moje družine) in danes uporabljajo taktiko, imenovano "hladno branje", da žrtve prevarajo v razkrivanju informacij o sebi.
Toda socialni inženiring je bolj kot poceni triki, kar je razvidno iz družbenega inženiringa, ki je ujel tekmovanje z zastavami na Def Con. Tukaj si tekmovalci zaslužijo točke za informacije, ki jih pridobijo od raziskovalnih podjetij in od neposrednega stika s temi podjetji. Hadnagy je dejal, da so najbolj raziskali tudi najboljši tekmovalci, ki kažejo, kako koristno je poznati svoje cilje.
Na žalost je zdaj pravi čas, da se ukvarjate s socialnimi inženirji, ki raziskujete ali zbirate informacije z odprtokodnimi informacijami. Hadnagy je pojasnil, da podjetja in posamezniki objavljajo veliko informacij na družbenih medijih, veliko pa jih lahko uporabimo v napadih na socialni inženiring. Prej smo si ogledali, kako so prevaranti poskušali uporabiti informacije, pridobljene s Facebooka, da bi se njihove prevare zdele bolj privlačne - včasih z zabavnimi rezultati.
Ciljanje na čustva
Ena najboljših taktik socialnega inženiringa je preprečiti kritično razmišljanje, ponavadi z usmerjanjem na čustva. Hadnagy je dejal, da se je za en napad, ki ga je skoraj zavedel, prijavil Amazon pošiljanje e-pošte. "To je bilo nekaj osebnega, nekaj, kar je vplivalo na moje življenje, in nekaj, kar mi je bilo pomembno, " je dejal.
V tem napadu je Hadnagy prejel e-poštno sporočilo, da je ena od njegovih pomembnih naročil Amazon zamujala zaradi zavrnjene številke kreditne kartice. V dneh pred veliko konferenco je Hadnagy dejal, da je prezaposlen in je kliknil povezavo v e-poštnem sporočilu - namesto da bi neposredno obiskal Amazon. Stran, na katero se je odrezal, je bila dobro oblikovana, vendar je hvaležno opazil domeno ".ru", preden je vnesel kakršne koli osebne podatke.
Čeprav je bila preprosta, je bila ta taktika zelo učinkovita. "Jaz sem človek, ki sem zaradi tega, kar počnem, v zadnjih nekaj mesecih lažil več kot 190.000 ljudi, " je dejal Hadnagy in se skliceval na svoje svetovalno delo. "Skoraj sem padel zaradi tega napada."
Druga prednost privlačnosti čustva je, da ne zahtevajo vrste raziskav, ki jih uporabljajo najboljši socialni inženirji. "Videli bomo, da izbiramo stvari, ki so pomembne za množice." Hadnagy je pojasnil, da to vključuje pošiljanje UPS, naročila Amazon in nakazila PayPal.
Množična privlačnost deluje dobro tudi za množično predvajanje, še ena pogosta taktika. "Te naenkrat pošljejo milijonom ljudi, zato jim ni vseeno, če jih dobijo stoodstotno, " je dejal Hadnagy. "10 odstotkov je še vedno na tisoče ogroženih računov."
Ostati varen
Mnoge taktike, ki se uporabljajo za iskanje lažnih sporočil, veljajo tudi za socialni inženiring. Vse, kar se sliši predobro, da bi bilo resnično - ali preveč slabo, da bi bilo resnično - verjetno ni res. Taktike, kot so letenje miške nad povezavami, da bi videli celoten URL, ročno vnašanje spletnih naslovov in izogibanje povezavam, ki prihajajo iz modrega so vse dobre taktike.
Toda del tekmovanja "Ujemite zastavo" v živo poudarja drugo plat družbenega inženiringa: institucionalno zaupanje. Letos so se številni tekmovalci postavili kot sodelavci ali prodajalci, kar je zaposlenim v ciljnih podjetjih dalo neposreden razlog, da jim zaupajo. Včasih se vam izplača postaviti vprašanja, ko vas osebno pokliče nekdo, ki trdi, da je direktor vašega podjetja.
Hadnagy je kariero razlagal s socialnim inženiringom, vendar ga ne skrbi, če napadalci lovijo njegove trike. "Slabi fantje ne iščejo podatkov, kako to storiti, " je dejal za SecurityWatch. "Že vedo, kako. Problem je v tem, da dobri fantje ne." Hadnagy s svojim delom verjame, da lahko nauči korporativno Ameriko in običajne ljudi, kako kritično razmišljati o svojih vsakodnevnih interakcijah in kako se odzvati v najslabših scenarijih. Hadnagy je to razložil tako: "Namesto da oborožimo slabe fante, orožje dobite."
Slika prek uporabnika Flickr Travis V.
