Inginerie sociala

Această metodă de atac este o adaptare a calului troian și constă în utilizarea mediilor fizice . Atacatorul plantează medii de stocare „infectate” în locuri publice unde aceste medii pot fi găsite cu ușurință, cum ar fi toalete, parcări, cantine sau la locul de muncă al angajatului atacat [5] . Mass-media este ambalată ca oficial pentru compania atacată sau însoțită de o semnătură menită să trezească curiozitatea. De exemplu, un atacator poate arunca un CD cu un logo corporativ și un link către site-ul web oficial al companiei, furnizându-i inscripția „Salariul echipei de conducere”. Discul poate fi lăsat la etajul liftului sau în hol. Un angajat poate ridica, fără să știe, un disc și îl poate introduce într-un computer pentru a-și satisface curiozitatea.

Colectare de informații din surse deschise

Utilizarea tehnicilor de inginerie socială necesită nu numai cunoștințe de psihologie , ci și capacitatea de a colecta informațiile necesare despre o persoană. O modalitate relativ nouă de a obține astfel de informații a devenit colecția sa din surse deschise, în principal din rețelele sociale . De exemplu, site-uri precum livejournal , Odnoklassniki , VKontakte conțin o cantitate imensă de date pe care oamenii nici măcar nu încearcă să le ascundă. De regulă, utilizatorii nu acordă atenția cuvenită problemelor de securitate, lăsând datele și informațiile disponibile gratuit, care pot fi folosite de un atacator. (în cazul Vkontakte, adresa, numărul de telefon, data nașterii, fotografii, prieteni etc.)

Un exemplu ilustrativ este povestea răpirii fiului lui Eugene Kaspersky. În cadrul cercetării s-a constatat că infractorii au aflat programul zilei și traseele adolescentului din evidențele sale de pe pagina de pe rețeaua de socializare [10] .

Chiar și prin restricționarea accesului la informațiile de pe pagina sa de pe o rețea de socializare, utilizatorul nu poate fi sigur că nu va cădea niciodată în mâinile escrocilor. De exemplu, un cercetător brazilian în domeniul securității computerelor a arătat că este posibil să devii prieten cu orice utilizator Facebook în 24 de ore folosind tehnici de inginerie socială. În timpul experimentului, cercetătorul Nelson Novaes Neto [11] a ales o victimă și a creat un cont fals despre o persoană din mediul ei - șeful ei. Mai întâi, Neto a trimis cereri de prietenie prietenilor prietenilor șefului victimei, iar apoi direct prietenilor săi. După 7,5 ore, cercetătorul a obținut o adăugare de prieten de la victimă. Astfel, cercetătorul a avut acces la informațiile personale ale utilizatorului, pe care le-a împărtășit doar prietenilor săi.

Surfing pe umăr

Shoulder surfing (ing. shoulder surfing ) implică observarea informațiilor personale ale victimei peste umăr. Acest tip de atac este frecvent în locuri publice, cum ar fi cafenele, centre comerciale, aeroporturi, gări și transport public.

Un sondaj al profesioniștilor IT într-o carte albă [12] privind securitatea a arătat că:

• 85% dintre respondenți au recunoscut că au văzut informații confidențiale pe care ar trebui să nu le cunoască;
• 82% au recunoscut că informațiile afișate pe ecran pot fi văzute de persoane neautorizate;
• 82% au puțină încredere că cineva din organizația lor își va proteja ecranul de străini.

Inginerie socială inversă

Ingineria socială inversă este menționată atunci când victima însăși oferă atacatorului informațiile de care are nevoie. Poate părea absurd, dar, de fapt, autoritățile tehnice sau sociale obțin adesea ID-uri de utilizator și parole și alte informații personale sensibile pur și simplu pentru că nimeni nu se îndoiește de integritatea lor. De exemplu, angajații biroului de asistență nu cer niciodată utilizatorilor un ID sau o parolă; nu au nevoie de aceste informații pentru a rezolva probleme. Cu toate acestea, mulți utilizatori împărtășesc voluntar aceste informații sensibile pentru a rezolva problemele cât mai curând posibil. Se pare că atacatorul nici nu trebuie să întrebe despre asta .

Un exemplu de inginerie socială inversă este următorul scenariu simplu. Atacatorul, lucrând împreună cu victima, schimbă numele fișierului de pe computerul ei sau îl mută în alt director. Când victima observă că fișierul lipsește, atacatorul pretinde că îl poate repara. Dorind să finalizeze lucrarea mai repede sau să evite pedeapsa pentru pierderea de informații, victima este de acord cu această propunere. Atacatorul susține că singura modalitate de a rezolva problema este autentificarea cu acreditările victimei. Acum, victima îi cere atacatorului să se conecteze sub numele ei pentru a încerca să restaureze fișierul. Atacatorul acceptă fără tragere de inimă și recuperează fișierul, furând ID-ul și parola victimei pe parcurs. După ce a efectuat cu succes atacul, și-a îmbunătățit chiar reputația și este foarte posibil ca și alți colegi să apeleze la el pentru ajutor după aceea. Această abordare nu interferează cu procedurile normale ale serviciului de asistență și face mai dificilă prinderea atacatorului. [13]

Ingineri sociali remarcabili

Kevin Mitnick

Unul dintre cei mai faimoși ingineri sociali din istorie este Kevin Mitnick. În calitate de hacker și consultant de securitate de renume mondial , Mitnick este, de asemenea, autorul a numeroase cărți despre securitatea computerelor, concentrându-se în primul rând pe ingineria socială și tehnicile de manipulare psihologică. În 2001, sub paternitatea sa a fost publicată cartea „ Arta  înșelăciunii” [5] , care spune despre povești reale despre utilizarea ingineriei sociale [14] . Kevin Mitnick susține că este mult mai ușor să obții o parolă trișând decât încercând să pătrunzi într-un sistem de securitate [15] .

Frații Badir

Deși frații Badir, Mushid și Shadi Badir au fost orbi de la naștere, ei au reușit să realizeze mai multe scheme majore de fraudă în Israel în anii 1990 folosind ingineria socială și falsificarea vocii. Într-un interviu TV, ei au spus: „Numai cei care nu folosesc telefonul, electricitatea și laptopul sunt asigurați în totalitate împotriva atacurilor de rețea”. Frații au fost deja la închisoare pentru că au auzit semnalele de serviciu pe linia telefonică. Ei au făcut apeluri lungi în străinătate pe cheltuiala altcuiva, simulând semnalizarea interstațiilor în canal .

Arhanghel

Renumit hacker și consultant de securitate pentru Phrack Magazine , o renumită revistă online în limba engleză , Archangel a demonstrat puterea tehnicilor de inginerie socială prin obținerea parolelor dintr-un număr imens de sisteme diferite într-un timp scurt, înșelând câteva sute de victime. .

Altele

Inginerii sociali mai puțin cunoscuți sunt Frank Abagnale , David Bannon , Peter Foster și Stephen Jay Russell .

Modalități de protejare împotriva ingineriei sociale

Pentru a-și realiza atacurile, atacatorii de inginerie socială exploatează adesea credulitatea, lenea, curtoazia și chiar entuziasmul utilizatorilor și angajaților organizațiilor. Apărarea împotriva unor astfel de atacuri nu este ușoară, deoarece victimele lor nu bănuiesc că au fost înșelate. Atacatorii de inginerie socială au practic aceleași obiective ca orice alți atacatori: au nevoie de bani, informații sau resurse IT ale companiei victime. Pentru a vă proteja împotriva unor astfel de atacuri, trebuie să studiați tipurile acestora, să înțelegeți de ce are nevoie atacatorul și să evaluați daunele care pot fi cauzate organizației. Cu toate aceste informații, măsurile de protecție necesare pot fi integrate în politica de securitate.

Cum depistați un atac de inginer social

Următoarele sunt metodele de acțiune ale inginerilor sociali:

• să te prezinți ca un prieten-angajat sau un nou angajat care cere ajutor;
• prezentarea ca angajat al unui furnizor, companie partenera, reprezentant al legii;
• a te reprezenta ca cineva din conducere;
• pretinzând că este un furnizor de sistem de operare sau un producător care sună pentru a oferi victimei o actualizare sau un patch pentru instalare;
• oferirea de ajutor atunci când apare o problemă și apoi provocarea unei probleme care o determină pe victimă să ceară ajutor;
• utilizarea argoului intern și a terminologiei pentru a construi încrederea;
• trimiterea unui virus sau cal troian ca atașament la e-mail;
• folosind o fereastră pop-up falsă care vă cere să vă autentificați din nou sau să introduceți o parolă;
• oferi un premiu pentru înregistrarea pe site cu un nume de utilizator și o parolă;
• înregistrarea cheilor pe care victima le introduce pe computer sau în programul său ( keylogging );
• aruncarea diferitelor suporturi de date (carduri flash, discuri etc.) cu malware pe masa victimei;
• aruncarea unui document sau folder la departamentul poștal al companiei pentru livrare internă;
• modificarea inscripției de pe fax pentru a face să pară că provine de la o companie;
• cererea secretarei de a accepta și apoi trimite faxul;
• o cerere de trimitere a documentului într-un loc care pare a fi local (adică situat pe teritoriul organizației);
• ajustarea mesageriei vocale astfel încât angajații care decid să apeleze înapoi să creadă că atacatorul este angajatul lor;

Clasificarea amenințărilor

Amenințări telefonice

Telefonul este încă unul dintre cele mai populare mijloace de comunicare în cadrul și între organizații, deci este încă un instrument eficient pentru ingineria socială. Când vorbești la telefon, este imposibil să vezi fața interlocutorului pentru a-i confirma identitatea, ceea ce le oferă atacatorilor șansa de a se uzurpa un angajat, un șef sau orice altă persoană în care se poate avea încredere cu informații confidențiale sau aparent neimportante. Atacatorul organizează adesea conversația în așa fel încât victima să nu aibă de ales decât să ajute, mai ales când cererea pare un fleac.

Sunt populare și diverse escrocherii care vizează furtul de bani de la utilizatorii de telefoane mobile. Acestea pot fi atât apeluri, cât și mesaje SMS despre câștiguri la loterie, concursuri, solicitări de returnare a fondurilor datorate din greșeală sau mesaje că rudele apropiate ale victimei au probleme și o nevoie urgentă de a transfera o anumită sumă de fonduri.

Măsurile de securitate sugerează o atitudine sceptică față de orice astfel de mesaje și câteva principii de securitate:

• Verificarea identității apelantului;
• Utilizarea serviciului de identificare a numărului;
• Ignorarea linkurilor necunoscute din mesajele SMS;

Amenințări prin e-mail

Mulți angajați primesc zilnic zeci și chiar sute de e-mailuri prin intermediul sistemelor de corespondență corporative și private. Desigur, cu un asemenea flux de corespondență, este imposibil să acordăm atenția cuvenită fiecărei litere. Acest lucru face mult mai ușor să efectueze atacuri. Majoritatea utilizatorilor sistemelor de e-mail sunt calmi cu privire la procesarea unor astfel de mesaje, percepând această lucrare ca un analog electronic al trecerii documentelor dintr-un folder în altul. Când un atacator trimite o cerere simplă prin poștă, victima face adesea ceea ce i se cere fără să se gândească la acțiunile lor. E-mailurile pot conține hyperlink-uri care încurajează angajații să încalce securitatea mediului corporativ. Astfel de link-uri nu duc întotdeauna la paginile revendicate.

Majoritatea măsurilor de securitate au ca scop prevenirea accesului utilizatorilor neautorizați la resursele corporative. Dacă, făcând clic pe un hyperlink trimis de un atacator, un utilizator descarcă un troian sau un virus în rețeaua corporativă, aceasta va ocoli cu ușurință multe tipuri de protecție. Hyperlinkul poate indica și un site cu aplicații pop-up care solicită informații sau oferă ajutor. Ca și în cazul altor tipuri de escrocherii, cel mai eficient mod de a vă proteja împotriva atacurilor rău intenționate este să fiți sceptic față de orice e-mailuri neașteptate primite. Pentru a extinde această abordare la nivelul unei organizații, în politica de securitate ar trebui incluse linii directoare specifice de utilizare a e-mailului, care să acopere elementele enumerate mai jos. [16]

• Anexele la documente.
• Hyperlink-uri în documente.
• Solicitări de informații personale sau corporative din cadrul companiei.
• Solicitări de informații personale sau corporative din afara companiei.

Amenințări asociate cu utilizarea serviciului de mesagerie instantanee

Mesageria instantanee este o modalitate relativ nouă de a transfera date, dar a câștigat deja o mare popularitate în rândul utilizatorilor corporativi. Datorită vitezei și ușurinței de utilizare, această metodă de comunicare deschide oportunități largi pentru diverse atacuri: utilizatorii o tratează ca pe o conexiune telefonică și nu o asociază cu potențiale amenințări software. Cele două tipuri principale de atacuri bazate pe utilizarea serviciului de mesagerie instantanee sunt referirea la malware-ul din corpul mesajului și livrarea programului în sine. Desigur, mesageria instantanee este și o modalitate de a solicita informații. Una dintre caracteristicile serviciilor de mesagerie instant este natura informală a comunicării. Combinat cu capacitatea de a-și atribui orice nume, acest factor face mult mai ușor pentru un atacator să se usureze pe o altă persoană și îi crește foarte mult șansele de a duce cu succes un atac. Dacă o companie intenționează să profite de economiile de costuri și de alte beneficii pe care le oferă mesageria instantanee, politicile de securitate corporative trebuie să abordeze aceste amenințări. Există mai multe cerințe care trebuie îndeplinite pentru a avea un control fiabil asupra mesageriei instantanee într-un mediu corporativ. [17]

• Alegeți o platformă pentru mesageria instantanee.
• Determinați setările de securitate care sunt setate la implementarea serviciului de mesagerie instantanee.
• Definiți principiile pentru stabilirea de noi contacte
• Stabiliți standarde pentru alegerea parolelor
• Faceți recomandări pentru utilizarea serviciului de mesagerie instantanee.

Metode defensive de bază

Specialiștii în inginerie socială identifică următoarele metode principale de protecție pentru organizații:

• dezvoltarea unei politici bine gândite de clasificare a datelor care să ia în considerare acele tipuri de date aparent inofensive care pot duce la informații importante;
• asigurarea protecției informațiilor clienților prin criptarea datelor sau utilizarea controlului accesului;
• formarea angajaților în abilitățile de a recunoaște un inginer social, manifestând suspiciune atunci când au de-a face cu persoane pe care nu le cunosc personal;
• interzicerea personalului de a schimba parole sau de a folosi una partajată;
• interdicția de a furniza informații de la departament cu secrete unei persoane care nu sunt atât de cunoscute personal sau neconfirmate în niciun fel;
• utilizarea unor proceduri speciale de confirmare pentru toți cei care solicită acces la informații confidențiale;

Model de securitate stratificat

Pentru a proteja companiile mari și angajații acestora de fraudatori care folosesc tehnici de inginerie socială, sunt adesea utilizate sisteme complexe de securitate pe mai multe niveluri. Unele dintre caracteristicile și responsabilitățile acestor sisteme sunt enumerate mai jos.

• Siguranță fizică. Bariere care restricționează accesul la clădirile companiei și la resursele corporative. Nu uitați că resursele companiei, precum containerele de gunoi situate în afara sediului companiei, nu sunt protejate fizic.
• Date. Informații de afaceri: conturi, corespondență etc. La analizarea amenințărilor și planificarea măsurilor de protecție a datelor, este necesar să se determine principiile de manipulare a suporturilor de date pe hârtie și electronice.
• Aplicații. Programe rulate de utilizatori. Pentru a vă proteja mediul, trebuie să luați în considerare modul în care atacatorii pot exploata programele de e-mail, serviciile de mesagerie instantanee și alte aplicații.
• Calculatoare. Servere și sisteme client utilizate în organizație. Protejarea utilizatorilor de atacurile directe asupra computerelor lor prin definirea unor linii directoare stricte pentru programele care pot fi utilizate pe computerele corporative.
• Rețea internă. O rețea prin care sistemele corporative interacționează. Poate fi local, global sau wireless. În ultimii ani, datorită popularității tot mai mari a metodelor de lucru la distanță, limitele rețelelor interne au devenit în mare măsură arbitrare. Angajații companiei trebuie să li se explice ce trebuie să facă pentru a organiza munca în siguranță în orice mediu de rețea.
• perimetrul rețelei. Granița dintre rețelele interne ale unei companii și rețelele externe, cum ar fi internetul sau rețelele organizațiilor partenere.

Responsabilitate

Pretextarea și înregistrarea convorbirilor telefonice

În codul juridic al SUA, pretextarea, adică uzurparea identității unei alte persoane pentru a obține informații care pot fi furnizate acelei persoane, este echivalată cu o invazie a vieții private [18] . În decembrie 2006, Congresul SUA a aprobat un proiect de lege care va pedepsi pretextul și înregistrarea convorbirilor telefonice cu o amendă de până la 250.000 USD sau închisoare de până la 10 ani pentru persoane fizice (sau o amendă de 500.000 USD pentru persoanele juridice). Decretul corespunzător a fost semnat de președintele George W. Bush la 12 ianuarie 2007 [19] .

Hewlett-Packard

Patricia Dunn, președintele Hewlett Packard Corporation, a declarat că HP a angajat o companie privată pentru a identifica acei angajați ai companiei care au fost responsabili pentru scurgerea de informații confidențiale. Mai târziu, șeful corporației a recunoscut că în procesul de cercetare a fost folosită practica pretextului și alte tehnici de inginerie socială [20] .

Note

1. ↑ Ross J. Anderson. Inginerie de securitate: un ghid pentru construirea de sisteme distribuite de încredere . — John Wiley & Sons, 2008-04-14. — 1080 s. - ISBN 978-0-470-06852-6 .
2. ↑ Inginerie socială  definită . Securitate prin educație . Preluat la 21 august 2020. Arhivat din original la 3 octombrie 2018.
3. ↑ Veselov A.V. Tema ingineriei sociale: concept, tipuri, formare  // Filosofie și cultură: Jurnal. - 2011. - 8 august ( Nr. 8 ). - S. 17 . (Rusă)
4. ↑ Phishing . Arhivat din original pe 10 noiembrie 2012. Consultat la 6 noiembrie 2012.
5. ↑ 1 2 3 4 Kevin D. Mitnick; William L. Simon. Arta înșelăciunii. - IT, 2004. - ISBN 5-98453-011-2 .
6. ↑ 1 2 3 Cum să vă protejați rețeaua internă de atacuri , Microsoft TechNet. Arhivat din original pe 27 septembrie 2018. Preluat la 1 octombrie 2017.
7. ↑ Ross, Dave . Cum funcționează răspunsul vocal interactiv (IVR) . Arhivat din original pe 14 august 2020. Preluat la 22 august 2020.
8. ↑ Qui pro quo
9. ↑ Leyden, John Angajații de birou oferă parole . Theregister.co.uk (18 aprilie 2003). Consultat la 1 octombrie 2017. Arhivat din original pe 20 noiembrie 2012. (nedefinit)
10. ↑ Goodchild, L!FENEWS . Fiul lui Kaspersky a fost răpit la Moscova  (21 aprilie 2011). Arhivat din original pe 4 noiembrie 2012. Consultat la 6 noiembrie 2012.
11. ↑ Nelson Novaes Neto . Arhivat din original pe 20 februarie 2010. Consultat la 6 noiembrie 2012.
12. ↑ European Visual Data Security. „Cartea albă privind securitatea datelor vizuale” (link indisponibil) (2014). Consultat la 19 decembrie 2014. Arhivat din original la 13 mai 2014. (nedefinit) 
13. ↑ Cum să vă protejați rețeaua internă și angajații companiei de atacuri , Microsoft TechNet. Arhivat din original pe 27 septembrie 2018. Preluat la 1 octombrie 2017.
14. ↑ Inginerie socială  (rusă) . Arhivat din original pe 21 aprilie 2014. Consultat la 6 noiembrie 2012.
15. ↑ Mitnick, K. Introducere // Caietul de lucru al cursului CSEPS. - Mitnick Security Publishing, 2004. - P. 4.
16. ↑ Utilizarea e -mailului, CITForum. Arhivat din original pe 2 noiembrie 2012. Consultat la 6 noiembrie 2012.
17. ↑ Ghid pentru operațiuni pe internet mai sigure , KasperskyLab. Arhivat din original pe 29 martie 2013. Consultat la 6 noiembrie 2012.
18. ↑ Reformularea 2d a Torts § 652C
19. ↑ Eric Bangeman. Congresul interzice pretextele  . Ars Technica (12 noiembrie 2006). Preluat la 1 octombrie 2017. Arhivat din original la 17 ianuarie 2017.
20. ↑ Stephen Shankland. Președintele HP: Utilizarea pretextului „penibil  ” . CNET News.com (8 septembrie 2006).

Link -uri

• Inginerie socială: Fundamente. Partea I: Tactica hackerilor
• Protecție împotriva phishingului
• „Protecting Consumers' Phone Records” , Centrul de informare privind confidențialitatea electronică Comitetul SUA pentru Comerț, Știință și  Transport
• Plotkin, Hal . Notă pentru presă: Pretextul este deja  ilegal
• social-engineer.org  - social-engineer.org  _
• Prezentare generală a amenințărilor de inginerie socială - Prezentat pentru părinți și profesori 
• Tailor Jerry - resursă în limba rusă despre inginerie socială

Dicționare și enciclopedii	mare chinezesc