Szociális tervezés

Ez a támadási módszer a trójai faló adaptációja, és fizikai adathordozók használatából áll . A támadó a "fertőzött" adathordozókat nyilvános helyekre helyezi el, ahol ezek az adathordozók könnyen megtalálhatók, például WC-kben, parkolókban, étkezdékben vagy a megtámadott alkalmazott munkahelyén [5] . A médiát a megtámadott cég hivatalosnak csomagolják, vagy aláírással kísérik, amely a kíváncsiság felkeltését szolgálja. Például egy támadó feldobhat egy céges logóval ellátott CD -t, amely a cég hivatalos webhelyére mutató hivatkozást tartalmaz, és elláthatja azt a „A vezetői csapat fizetése” felirattal. A lemezt a lift emeletén vagy a hallban hagyhatja. Egy alkalmazott tudtán kívül felkaphat egy lemezt, és behelyezheti a számítógépbe, hogy kielégítse kíváncsiságát.

Információgyűjtés nyílt forrásokból

A social engineering technikák használatához nemcsak pszichológiai ismeretekre van szükség , hanem arra is, hogy képes legyen összegyűjteni a szükséges információkat egy személyről. Az ilyen információk megszerzésének viszonylag új módja a nyílt forrásokból, főleg a közösségi hálózatokból történő gyűjtés . Például az olyan webhelyek, mint a livejournal , Odnoklassniki , VKontakte hatalmas mennyiségű adatot tartalmaznak, amelyet az emberek meg sem próbálnak elrejteni. A felhasználók általában nem fordítanak kellő figyelmet a biztonsági kérdésekre, így szabadon hozzáférhetővé teszik a támadó által felhasználható adatokat és információkat. (Vkontakte esetén cím, telefonszám, születési dátum, fényképek, barátok stb.)

Szemléltető példa Eugene Kaspersky fiának elrablásának története. A nyomozás során kiderült, hogy a bűnözők a közösségi oldal [10] oldalán található feljegyzéseiből értesültek az aznapi menetrendről és a tinédzser útvonaláról .

A felhasználó még akkor sem lehet biztos abban, hogy az oldalukon lévő információkhoz való hozzáférést korlátozza egy közösségi hálózaton, hogy azok soha nem kerülnek csalók kezébe. Például egy brazil számítógép-biztonsági kutató kimutatta, hogy 24 órán belül bármely Facebook -felhasználó barátjává lehet válni social engineering technikákkal. A kísérlet során Nelson Novaes Neto kutató [11] kiválasztott egy áldozatot, és hamis beszámolót készített egy személyről a környezetéből - a főnökéről. Neto először az áldozat főnökének barátainak küldött baráti kérelmeket, majd közvetlenül a barátainak. 7,5 óra elteltével a kutató baráti kiegészítést kapott az áldozattól. Így a kutató hozzájutott a felhasználó személyes adataihoz, amelyeket csak barátaival osztott meg.

Vállas szörfözés

A vállszörfözés (angol. shoulder surfing ) azt jelenti, hogy az áldozat személyes adatait a válla fölött megfigyelik. Az ilyen típusú támadások gyakoriak nyilvános helyeken, például kávézókban, bevásárlóközpontokban, repülőtereken, vasútállomásokon és tömegközlekedési eszközökön.

A biztonságról szóló fehér könyvben [12] informatikai szakemberek körében végzett felmérés azt mutatta, hogy:

• A válaszadók 85%-a elismerte, hogy olyan bizalmas információkat látott, amelyeket nem kellett volna tudnia;
• 82%-uk elismerte, hogy a képernyőjén megjelenő információkat illetéktelenek láthatják;
• 82%-uk nem bízik abban, hogy valaki a szervezetében megvédi a képernyőjét az idegenektől.

Reverse social engineering

A fordított social engineeringről akkor beszélünk, amikor az áldozat maga kínálja fel a támadónak a szükséges információkat. Lehet, hogy abszurdnak tűnik, de valójában a műszaki vagy társadalmi hatóságok gyakran csak azért kapnak felhasználói azonosítókat, jelszavakat és egyéb érzékeny személyes adatokat, mert senki sem kételkedik épségükben. Például a help desk alkalmazottai soha nem kérnek azonosítót vagy jelszót a felhasználóktól; nincs szükségük erre az információra a problémák megoldásához. Sok felhasználó azonban önként osztja meg ezeket az érzékeny információkat a problémák mielőbbi megoldása érdekében. Kiderült, hogy a támadónak nem is kell kérdeznie róla .

A fordított social engineering példája a következő egyszerű forgatókönyv. A támadó az áldozattal együttműködve megváltoztatja a fájl nevét a számítógépén, vagy áthelyezi egy másik könyvtárba. Amikor az áldozat észreveszi, hogy a fájl hiányzik, a támadó azt állítja, hogy meg tudják javítani. A sértett, aki szeretné gyorsabban befejezni a munkát, vagy elkerülni az információvesztésért járó büntetést, elfogadja ezt a javaslatot. A támadó azt állítja, hogy a probléma megoldásának egyetlen módja az, ha bejelentkezik az áldozat hitelesítő adataival. Az áldozat most arra kéri a támadót, hogy jelentkezzen be az ő neve alatt, hogy megpróbálja visszaállítani a fájlt. A támadó vonakodva beleegyezik, és visszaszerzi a fájlt, miközben útközben ellopja az áldozat azonosítóját és jelszavát. A támadást sikeresen végrehajtva még a hírnevét is javította, és nagyon valószínű, hogy ezután más kollégák is hozzá fordulnak segítségért. Ez a megközelítés nem zavarja a normál támogatási szolgáltatási eljárásokat, és megnehezíti a támadó elkapását. [13]

Jeles társadalommérnökök

Kevin Mitnick

A történelem egyik leghíresebb társadalommérnöke Kevin Mitnick. Világhírű számítógépes hackerként és biztonsági tanácsadóként Mitnick számos számítógépes biztonságról szóló könyv szerzője is, elsősorban a szociális tervezésre és a pszichológiai manipulációs technikákra összpontosítva. 2001 - ben az ő szerzősége alatt jelent meg a " The  Art of Deception" című könyv [5] , amely a social engineering [14] használatának valós történeteit meséli el . Kevin Mitnick azzal érvel, hogy sokkal könnyebb csalással jelszót szerezni, mint egy biztonsági rendszerbe betörni [15] .

A Badir testvérek

Bár a Badir fivérek, Mushid és Shadi Badir születésüktől fogva vakok voltak, az 1990-es években több nagy csalási tervet sikerült végrehajtaniuk Izraelben társadalmi manipuláció és hanghamisítás segítségével. Egy tévéinterjúban azt mondták: "Csak azok vannak teljes körűen biztosítottak a hálózati támadások ellen, akik nem használják a telefont, az áramot és a laptopot." A testvérek már börtönben voltak, mert meghallották a szolgálati jelzéseket a telefonvonalon. Hosszú hívásokat intéztek külföldön valaki más költségére, szimulálva a csatornán belüli állomásközi jelzést .

arkangyal

A jól ismert számítógépes hacker és a jól ismert angol nyelvű online magazin, a Phrack Magazine biztonsági tanácsadója , Archangel bemutatta a social engineering technikák erejét azzal, hogy rövid időn belül rengeteg különböző rendszerből szerzett jelszavakat, több száz áldozatot megtévesztve. .

Egyéb

A kevésbé ismert társadalommérnökök Frank Abagnale , David Bannon , Peter Foster és Stephen Jay Russell .

A social engineering elleni védekezés módjai

A social engineering támadói támadásaik végrehajtásához gyakran kihasználják a felhasználók és a szervezetek alkalmazottainak hiszékenységét, lustaságát, udvariasságát, sőt lelkesedését. Az ilyen támadások elleni védekezés nem könnyű, mert áldozataik nem gyanakodhatnak arra, hogy megtévesztették őket. A social engineering támadóknak alapvetően ugyanazok a céljaik, mint bármely más támadónak: pénzre, információra vagy az áldozat cég informatikai erőforrásaira van szükségük. Az ilyen támadások elleni védelem érdekében tanulmányoznia kell azok típusait, meg kell értenie, mire van szüksége a támadónak, és fel kell mérnie a szervezetnek okozott károkat. Mindezen információk birtokában a szükséges védelmi intézkedések beépíthetők a biztonsági szabályzatba.

Hogyan lehet észrevenni egy szociális mérnök támadást

A társadalommérnökök cselekvési módszerei a következők:

• barát-alkalmazottként vagy segítséget kérő új alkalmazottként bemutatkozni;
• beszállító, partnercég alkalmazottjaként, a jog képviselőjeként bemutatni magát;
• önmagát a vezetőségből képviselni;
• operációs rendszer szállítójának vagy gyártójának színlelése, aki frissítést vagy javítást ajánl fel az áldozatnak a telepítéshez;
• segítség felajánlása, ha probléma merül fel, majd olyan probléma provokálása, amely arra készteti az áldozatot, hogy segítséget kérjen;
• belső szleng és terminológia használata a bizalomépítés érdekében;
• vírus vagy trójai faló küldése e-mail mellékletként;
• hamis felugró ablak használata, amely ismételt hitelesítést vagy jelszó megadását kéri;
• díjat ajánl fel az oldalon való regisztrációért felhasználónévvel és jelszóval;
• az áldozat által beírt kulcsok rögzítése a számítógépén vagy a programjában ( keylogging );
• rosszindulatú programokat tartalmazó különféle adathordozók (flash kártyák, lemezek stb.) az áldozat asztalára dobása;
• dokumentum vagy mappa bedobása a vállalat postai osztályára belső kézbesítés céljából;
• a faxon lévő betűk módosítása, hogy úgy tűnjön, mintha cégtől származna;
• a titkár kérése a fax elfogadására, majd elküldésére;
• kérés, hogy a dokumentumot olyan helyre küldjék, amely helyinek tűnik (azaz a szervezet területén található);
• a hangposta beállítása úgy, hogy az alkalmazottak, akik úgy döntenek, hogy visszahívják, azt gondolják, hogy a támadó az ő alkalmazottjuk;

A fenyegetések osztályozása

Telefonos fenyegetés

A telefon továbbra is az egyik legnépszerűbb kommunikációs eszköz a szervezeteken belül és a szervezetek között, így továbbra is hatékony eszköze a social engineeringnek. A telefonos beszélgetés során nem lehet látni a beszélgetőpartner arcát, hogy megerősítse kilétét, ami lehetőséget ad a támadóknak arra, hogy kiadják magukat egy alkalmazottnak, főnöknek vagy bármely más személynek, akire bizalmas vagy látszólag lényegtelen információkat lehet rábízni. A támadó gyakran úgy szervezi meg a beszélgetést, hogy az áldozatnak nincs más választása, mint segíteni, különösen akkor, ha a kérés apróságnak tűnik.

Népszerűek a különféle csalások is, amelyek célja a mobiltelefon-használók pénzének ellopása. Ezek lehetnek hívások és SMS-ek a lottónyereményekről, versenyekről, tévedésből esedékes pénzvisszafizetési kérelmek vagy üzenetek arról, hogy az áldozat közeli hozzátartozói bajba kerültek, és sürgősen át kell utalniuk bizonyos összeget.

A biztonsági intézkedések szkeptikus hozzáállást sugallnak minden ilyen üzenettel és néhány biztonsági elvvel kapcsolatban:

• A hívó személyazonosságának ellenőrzése;
• számazonosító szolgáltatás igénybevétele;
• Ismeretlen hivatkozások figyelmen kívül hagyása SMS-üzenetekben;

E-mail fenyegetések

Sok alkalmazott naponta több tucat, sőt több száz e-mailt kap vállalati és magán levelezőrendszereken keresztül. Természetesen egy ilyen levélváltás mellett lehetetlen minden egyes betűre kellő figyelmet fordítani. Ez sokkal könnyebbé teszi a támadások végrehajtását. Az e-mail rendszerek legtöbb felhasználója nyugodt az ilyen üzenetek feldolgozásával kapcsolatban, és ezt a munkát a papírok egyik mappából a másikba való áthelyezésének elektronikus analógjaként érzékeli. Amikor egy támadó egyszerű kérést küld e-mailben, az áldozat gyakran megteszi, amit kérnek tőle, anélkül, hogy a tetteire gondolna. Az e-mailek hiperhivatkozásokat tartalmazhatnak, amelyek arra ösztönzik az alkalmazottakat, hogy megsértsék a vállalati környezet biztonságát. Az ilyen hivatkozások nem mindig az igényelt oldalakra vezetnek.

A legtöbb biztonsági intézkedés célja annak megakadályozása, hogy jogosulatlan felhasználók hozzáférjenek a vállalati erőforrásokhoz. Ha egy támadó által küldött hiperhivatkozásra kattintva a felhasználó trójai programot vagy vírust tölt le a vállalati hálózatra, az könnyen megkerül sokféle védelmet. A hiperhivatkozás egy olyan webhelyre is mutathat, ahol felugró alkalmazások információt kérnek vagy segítséget nyújtanak. Más típusú csalásokhoz hasonlóan a rosszindulatú támadások elleni védekezés leghatékonyabb módja a váratlan bejövő e-mailek szkeptikus kezelése. Ennek a megközelítésnek a szervezetre való kiterjesztéséhez a biztonsági szabályzatba konkrét e-mail használati irányelveket kell belefoglalni, amelyek az alábbiakban felsorolt ​​elemekre terjednek ki. [16]

• Mellékletek a dokumentumokhoz.
• Hiperhivatkozások a dokumentumokban.
• Személyes vagy vállalati adatok kérése a vállalaton belülről.
• Személyes vagy vállalati adatok iránti kérések a vállalaton kívülről.

Az azonnali üzenetküldő szolgáltatás használatával kapcsolatos fenyegetések

Az azonnali üzenetküldés az adatátvitel viszonylag új módja, de a vállalati felhasználók körében már nagy népszerűségre tett szert. A gyorsaság és a könnyű kezelhetőség miatt ez a kommunikációs mód széles lehetőségeket nyit meg a különféle támadások számára: a felhasználók telefonkapcsolatként kezelik, és nem társítják potenciális szoftverfenyegetésekkel. Az azonnali üzenetküldő szolgáltatás használatán alapuló támadások két fő típusa a rosszindulatú programra való hivatkozás az üzenet szövegében, illetve maga a program kézbesítése. Természetesen az azonnali üzenetküldés is az információkérés egyik módja. Az azonnali üzenetküldő szolgáltatások egyik jellemzője a kommunikáció informális jellege. Azzal a képességgel kombinálva, hogy tetszőleges nevet rendelhet magának, ez a tényező sokkal könnyebbé teszi a támadó számára, hogy kiadja magát egy másik személynek, és nagymértékben növeli esélyeit a támadás sikeres végrehajtására. Ha egy vállalat ki kívánja használni az azonnali üzenetküldés által biztosított költségmegtakarítást és egyéb előnyöket, a vállalati biztonsági szabályzatoknak kezelniük kell ezeket a fenyegetéseket. Számos követelménynek meg kell felelnie ahhoz, hogy megbízható irányítást biztosíthasson az azonnali üzenetküldés felett a vállalati környezetben. [17]

• Válasszon egy platformot az azonnali üzenetküldéshez.
• Határozza meg az azonnali üzenetküldő szolgáltatás telepítésekor beállított biztonsági beállításokat.
• Határozza meg az új kapcsolatok kialakításának alapelveit
• Állítson be szabványokat a jelszavak kiválasztásához
• Tegyen javaslatokat az azonnali üzenetküldő szolgáltatás használatára.

Alapvető védekezési módszerek

A szociális mérnökök a következő fő védelmi módszereket azonosítják a szervezetek számára:

• átgondolt adatosztályozási politika kialakítása, amely figyelembe veszi azokat az ártalmatlannak tűnő adattípusokat, amelyek fontos információkhoz vezethetnek;
• az ügyfelek információinak védelmének biztosítása adatok titkosításával vagy hozzáférés-szabályozás alkalmazásával;
• az alkalmazottak képzése a szociális mérnök felismerésének készségeiben, gyanakvás megjelenítése, amikor olyan emberekkel foglalkoznak, akiket nem ismernek személyesen;
• a személyzet eltiltása a jelszavak cseréjétől vagy a megosztott jelszó használatától;
• az osztálytól olyan személynek titkokat tartalmazó információszolgáltatás tilalma, akiket személyesen nem ismertek vagy semmilyen módon nem erősítettek meg;
• speciális megerősítési eljárások alkalmazása mindazok számára, akik bizalmas információkhoz való hozzáférést kérnek;

Réteges biztonsági modell

A nagyvállalatok és alkalmazottaik védelme érdekében a social engineering technikákat alkalmazó csalóktól gyakran alkalmaznak összetett, többszintű biztonsági rendszereket. Az alábbiakban felsorolunk néhány ilyen rendszer funkciót és felelősséget.

• Fizikai biztonság. Akadályok, amelyek korlátozzák a hozzáférést a vállalati épületekhez és a vállalati erőforrásokhoz. Ne felejtse el, hogy a vállalati erőforrások, például a vállalat telephelyén kívül található szemetes konténerek nincsenek fizikailag védve.
• Adat. Vállalkozási információk: fiókok, levelek stb. A fenyegetések elemzésekor és az adatvédelmi intézkedések tervezése során meg kell határozni a papír és elektronikus adathordozók kezelésének elveit.
• Alkalmazások. A felhasználók által futtatott programok. A környezet védelme érdekében mérlegelnie kell, hogy a támadók hogyan tudják kihasználni az e-mail programokat, azonnali üzenetküldő szolgáltatásokat és egyéb alkalmazásokat.
• Számítógépek. A szervezetben használt szerverek és kliens rendszerek. A felhasználók védelme a számítógépüket ért közvetlen támadásokkal szemben szigorú irányelvek meghatározásával a vállalati számítógépeken használható programokra vonatkozóan.
• Belső hálózat. Egy hálózat, amelyen keresztül a vállalati rendszerek kölcsönhatásba lépnek. Lehet helyi, globális vagy vezeték nélküli. Az elmúlt években a távmunkamódszerek növekvő népszerűsége miatt a belső hálózatok határai jórészt önkényessé váltak. A vállalat alkalmazottainak el kell magyarázni, mit kell tenniük a biztonságos munkavégzés megszervezése érdekében bármilyen hálózati környezetben.
• hálózati kerület. A vállalat belső hálózatai és a külső hálózatok, például az internet vagy a partnerszervezetek hálózatai közötti határ.

Felelősség

Telefonbeszélgetések ürügye és rögzítése

Az Egyesült Államok jogi kódexében az ürügy, vagyis egy másik személy személyes adataival való visszaélés az adott személy számára szolgáltatható információk megszerzése érdekében a magánélet megsértésének minősül [18] . 2006 decemberében az Egyesült Államok Kongresszusa jóváhagyott egy törvényjavaslatot, amely a telefonbeszélgetések ürügyét és rögzítését 250 000 dollárig terjedő pénzbírsággal vagy 10 évig terjedő szabadságvesztéssel büntetné magánszemélyeket (vagy 500 000 dolláros pénzbírsággal jogi személyeket). A megfelelő rendeletet George W. Bush elnök írta alá 2007. január 12-én [19] .

Hewlett-Packard

Patricia Dunn, a Hewlett Packard Corporation elnöke elmondta, hogy a HP egy magáncéget bérelt fel, hogy azonosítsa a vállalat azon alkalmazottait, akik felelősek a bizalmas információk kiszivárogtatásáért. Később a társaság vezetője bevallotta, hogy a kutatási folyamat során az ürügy és más social engineering technikák gyakorlatát alkalmazták [20] .

Jegyzetek

1. ↑ Ross J. Anderson. Biztonságtechnika: Útmutató a megbízható elosztott rendszerek kiépítéséhez . – John Wiley & Sons, 2008. 04. 14. — 1080 s. - ISBN 978-0-470-06852-6 .
2. ↑ Social Engineering  Defined . Biztonság az oktatáson keresztül . Letöltve: 2020. augusztus 21. Az eredetiből archiválva : 2018. október 3.
3. ↑ Veselov A.V. Társadalomtervezés tárgya: fogalom, típusok, formáció  // Filozófia és kultúra: Folyóirat. - 2011. - augusztus 8. ( 8. sz .). - S. 17 . (Orosz)
4. ↑ Adathalászat . Az eredetiből archiválva: 2012. november 10. Letöltve: 2012. november 6.
5. ↑ 1 2 3 4 Kevin D. Mitnick; William L. Simon. A megtévesztés művészete. - IT, 2004. - ISBN 5-98453-011-2 .
6. ↑ 1 2 3 Hogyan védheti meg belső hálózatát a támadásoktól , Microsoft TechNet. Archiválva az eredetiből 2018. szeptember 27-én. Letöltve: 2017. október 1.
7. ↑ Ross, Dave . Hogyan működik az Interactive Voice Response (IVR) . Archiválva az eredetiből: 2020. augusztus 14. Letöltve: 2020. augusztus 22.
8. ↑ Qui pro quo
9. ↑ Leyden, John Az irodai dolgozók jelszavakat adnak el . Theregister.co.uk (2003. április 18.). Letöltve: 2017. október 1. Archiválva az eredetiből: 2012. november 20. (határozatlan)
10. ↑ Jógyermek, L!FENEWS . Kaspersky fiát Moszkvában rabolták el  (2011. április 21.). Az eredetiből archiválva: 2012. november 4. Letöltve: 2012. november 6.
11. ↑ Nelson Novaes Neto . Az eredetiből archiválva: 2010. február 20. Letöltve: 2012. november 6.
12. ↑ Európai vizuális adatbiztonság. „Vizuális adatbiztonsági fehér könyv” (nem elérhető hivatkozás) (2014). Letöltve: 2014. december 19. Az eredetiből archiválva : 2014. május 13. (határozatlan) 
13. ↑ Hogyan védheti meg belső hálózatát és vállalati alkalmazottait a támadásoktól , Microsoft TechNet. Archiválva az eredetiből 2018. szeptember 27-én. Letöltve: 2017. október 1.
14. ↑ Social Engineering  (orosz) . Archiválva az eredetiből 2014. április 21-én. Letöltve: 2012. november 6.
15. ↑ Mitnick, K. Bevezetés // CSEPS Course Workbook. - Mitnick Security Publishing, 2004. - 4. o.
16. ↑ E- mail használata , CITFórum. Archiválva az eredetiből 2012. november 2-án. Letöltve: 2012. november 6.
17. ↑ Útmutató a biztonságosabb internetes műveletekhez , KasperskyLab. Az eredetiből archiválva : 2013. március 29. Letöltve: 2012. november 6.
18. ↑ A károkozások 2d. újbóli megfogalmazása 652C. §
19. ↑ Eric Bangeman. A kongresszus betiltja az ürügyet  . Ars Technica (2006. november 12.). Letöltve: 2017. október 1. Az eredetiből archiválva : 2017. január 17.
20. ↑ Stephen Shankland. HP elnöke: A „kínos  ” ürügy használata . CNET News.com (2006. szeptember 8.).

Linkek

• Social Engineering: alapok. I. rész: Hacker-taktika
• Adathalászat elleni védelem
• "Protecting Consumers' Phone Records" , Electronic Privacy Information Center Amerikai Kereskedelmi, Tudományos és  Közlekedési Bizottság
• Plotkin, Hal . Emlékeztető a sajtónak: Az ürügy már  illegális
• social-engineer.org  - social-engineer.org  _
• A társadalmi tervezéssel kapcsolatos veszélyek áttekintése – Szülőknek és tanároknak  bemutatva
• Tailor Jerry – orosz nyelvű forrás a social engineeringről

Szótárak és enciklopédiák	nagy kínai