Відео: rytp баÑбоÑÐºÐ¸Ð½Ñ Ð±ÐµÐ· маÑа VIDEOMEGA RU (Листопад 2024)
Соціальна інженерія - це те, що надає можливість фішингу електронних листів та шкідливих веб-сайтів, вбраних таким чином, щоб виглядати як безпечні, популярні веб-сайти. Під час дискусії з Крісом Хаднагі, головним хакером на людину в Social-Engineer Inc., я запитав його, як помітити ці афери. Його поради повторюють те, про що ми часто говорили читачам: будьте завжди підозрілими.
Більше ніж кон
З мого обговорення з Хаднагі, зрозуміло, що деякі з того, що ми називаємо соціальною інженерією, - це ті самі хитрощі, якими люди користуються впливають на рішення протягом багатьох років. Наприклад, індустрія швидкого харчування, наприклад, чудово досліджувала, які кольори спонукають людей їсти швидше. Підступні спіритуалісти 19 століття (куди входять члени моєї родини) і сьогодні використовують тактику під назвою «холодне читання», щоб обманути жертв розкрити інформацію про себе.
Але в соціальній інженерії є більше, ніж в дешевих трюках, як продемонстрував Соціальний інженерний конкурс «Зберегти прапор», що проводиться в Def Con. Тут учасники конкурсу заробляють бали за інформацію, яку вони отримують від дослідницьких компаній та безпосередньо контактуючи з цими компаніями. Хаднагі зазначив, що найкращі учасники змагань також провели найбільше досліджень, що демонструє, наскільки корисно знати свої цілі.
На жаль, зараз чудовий час бути соціальним інженером, який займається дослідженнями або збирає інформацію з відкритим кодом. Хаднагі пояснив, що компанії та приватні особи розміщують багато інформації в соціальних медіа, значна частина якої може бути використана в атаках на соціальну інженерію. Раніше ми розглядали, як шахраї намагалися використовувати інформацію, зібрану з Facebook, щоб зробити їх афери більш привабливими - іноді із веселими результатами.
Націлювання на емоції
Одна з найкращих тактик соціальної інженерії - це не давати критично мислити, як правило, орієнтуючись на емоції. Хаднагі заявив, що одна атака, яка мало не обдурила його, стверджує, що це електронна пошта Amazon. "Це було щось особисте, щось, що вплинуло на моє життя, і те, що було важливо для мене", - сказав він.
У цьому конкретному нападі Хаднагі отримав електронний лист із повідомленням про те, що один із важливих замовлень Amazon був відкладений через зменшений номер кредитної картки. За дні, що передували великій конференції, Хаднагі сказав, що він перевантажений роботою та натиснув на посилання в електронній пошті - замість того, щоб відвідувати Amazon безпосередньо. Сторінка, на яку він потрапив, була добре опрацьована, але, на щастя, він помітив домен ".ru", перш ніж вводити будь-яку особисту інформацію.
Хоча це було просто, ця тактика була дуже ефективною. "Я той хлопець, який через те, що я роблю, фіксував понад 190 000 людей за останні кілька місяців", - сказав Хаднагі, посилаючись на свою консультаційну роботу. "Я майже впав за цю атаку".
Ще одна перевага привабливості до емоцій полягає в тому, що вона не вимагає проведення таких досліджень, як найкращих зайнятих соціальних інженерів. "Що ми побачимо, це підбирати речі, важливі для мас". Хаднагі пояснив, що це включає доставку UPS, замовлення Amazon та перекази через PayPal.
Масове звернення також добре працює для масового мовлення, що є ще однією частою тактикою. "Вони надсилають їх мільйонам людей одночасно, тому їм не байдуже, чи отримають вони на 100 відсотків", - сказав Хаднагі. "10 відсотків - це ще тисячі компрометованих рахунків".
Безпека
Багато тактик, які використовуються для виявлення фішинг-електронних листів, стосуються і соціальної інженерії. Все, що звучить занадто добре, щоб бути правдою, або занадто погано, щоб бути правдою, напевно, не відповідає дійсності. Такі тактики, як наведення курсору на посилання, щоб побачити повну URL-адресу, ввести вручну веб-адреси та уникати посилань, які надходять із синього кольору - все це тактика звуку.
Але частина конкурсу "Захопити прапор" в прямому ефірі висвітлює ще один аспект соціальної інженерії: інституційну довіру. Цього року багато учасників конкурсу виступали як співробітники чи продавці, що дало працівникам цільових компаній негайну причину довіряти їм. Іноді варто задавати питання, коли хтось, хто претендує на посаду генерального директора вашої компанії, телефонує вам особисто.
Хаднагі зробив кар'єру, пояснюючи соціальну інженерію, але його не хвилює, чи зловмисники підбирають його хитрощі. "Погані хлопці не шукають даних, як це зробити", - сказав він для SecurityWatch. "Вони вже знають, як. Проблема в тому, що хороші хлопці цього не роблять". Своєю роботою Хаднагі вважає, що він може навчити корпоративну Америку та звичайних людей як критично мислити їх щоденну взаємодію та як реагувати у гірших випадках. Хаднагі пояснив це так: "Замість того, щоб озброювати поганих хлопців, він озброює хороших хлопців".
Зображення через користувача Flickr Travis V.