Video: Picka - Dilpreet Dhillon | Aamber Dhillon | Desi Crew | New Punjabi Songs 2020 | Saga Music (Septembra 2024)
Sociálne inžinierstvo je to, čo poháňa phishing e-maily a škodlivé webové stránky, ktoré sú upravené tak, aby vyzerali ako bezpečné a populárne webové stránky. Počas diskusie s Chrisom Hadnagym, hlavným ľudským hackerom v spoločnosti Social-Engineer Inc., som sa ho spýtal, ako si všimnúť tieto podvody. Jeho rada odráža to, čo sme často čitateľom povedali: vždy je podozrivý.
Viac ako kon
Z mojej diskusie s Hadnagym je zrejmé, že niektoré z tých, ktoré nazývame sociálne inžinierstvo, sú rovnaké triky, ktoré ľudia používajú už roky pri rozhodovaní o vplyve. Napríklad priemysel rýchleho občerstvenia slávne preskúmal, aké farby by ľudí povzbudili k rýchlejšiemu jedlu. Falošní spiritualisti z 19. storočia (ktorých súčasťou sú členovia mojej rodiny) a dnes používajú taktiku zvanú „studené čítanie“, aby prinútili obete k odhaleniu informácií o sebe.
Ale existuje viac v oblasti sociálneho inžinierstva ako lacných trikov, ako demonštruje súťaž Social Capture the Flag, ktorá sa konala v Def Con. Súťažiaci tu získavajú body za informácie, ktoré získavajú od výskumných spoločností a od priameho kontaktu s týmito spoločnosťami. Hadnagy povedal, že najlepší hodnotiaci súťažiaci urobili najviac prieskumov, čo ukazuje, aké užitočné je poznať svoje ciele.
Bohužiaľ, teraz je ten pravý čas stať sa sociálnym inžinierom, ktorý vykonáva výskum alebo zhromažďuje informácie z otvoreného zdroja. Hadnagy vysvetlil, že spoločnosti a jednotlivci uverejňujú veľa informácií o sociálnych médiách, z ktorých mnohé môžu byť použité pri útokoch na sociálne inžinierstvo. Predtým sme sa zaoberali tým, ako sa podvodníci pokúšali využiť informácie získané z Facebooku, aby ich podvody vyzerali príťažlivejšie - niekedy s veselými výsledkami.
Zacielenie na emócie
Jednou z najlepších taktík sociálneho inžinierstva je zabrániť kritickému mysleniu, zvyčajne zameraním na emócie. Hadnagy povedal, že jeden útok, ktorý ho takmer oklamal, tvrdil, že je to Amazonský poštový e-mail. „Bolo to niečo osobné, niečo, čo ovplyvnilo môj život, a niečo, čo bolo pre mňa dôležité, “ povedal.
Pri tomto konkrétnom útoku dostal Hadnagy e-mail s oznámením, že jedna z jeho dôležitých objednávok Amazonu bola oneskorená z dôvodu poklesu čísla kreditnej karty. V dňoch, ktoré viedli k veľkej konferencii, Hadnagy povedal, že bol prepracovaný a klikol na odkaz v e-maile - namiesto priameho navštevovania Amazonu. Stránka, na ktorú bol vzatý, bola dobre vytvorená, ale našťastie si všimol doménu „.ru“ pred zadaním akýchkoľvek osobných údajov.
Aj keď to bolo jednoduché, táto taktika bola veľmi účinná. „Som ten chlap, ktorý kvôli tomu, čo robím, v posledných mesiacoch phishingoval viac ako 190 000 ľudí, “ uviedol Hadnagy s odkazom na svoju poradenskú prácu. "Skoro som padol kvôli tomuto útoku."
Ďalšou výhodou príťažlivosti k emóciám je, že nevyžaduje taký výskum, aký najlepší sociálni inžinieri zamestnávajú. „Uvidíme, že vyberajú veci, ktoré sú pre masy dôležité.“ Hadnagy vysvetlil, že to zahŕňa prepravu UPS, objednávky Amazonky a prevody PayPal.
Masové odvolanie tiež funguje dobre pre hromadné vysielanie, ďalšiu častú taktiku. „Posielajú ich naraz miliónom ľudí, takže je im jedno, či dostanú 100 percent, “ povedal Hadnagy. „10 percent predstavuje stále tisíce kompromitovaných účtov.“
Zostaňte v bezpečí
Mnoho taktík používaných na zisťovanie phishingových e-mailov platí aj pre sociálne inžinierstvo. Čokoľvek, čo znie príliš dobre na to, aby to bola pravda - alebo príliš zlé na to, aby to bola pravda - pravdepodobne nie je pravda. Taktiky, ako je umiestnenie kurzora nad odkazy na zobrazenie úplnej adresy URL, manuálne zadanie webových adries a zabránenie odkazom, ktoré prichádzajú z modrej, sú zvukovou taktikou.
Ale živá volacia časť súťaže Capture the Flag zdôrazňuje ďalšiu stránku sociálneho inžinierstva: inštitucionálnu dôveru. Tento rok mnoho súťažiacich predstavovalo spolupracovníkov alebo predajcov, čo zamestnancom cieľových spoločností poskytlo okamžitý dôvod im veriť. Niekedy sa vyplatí klásť otázky, keď vás niekto, kto tvrdí, že je generálnym riaditeľom vašej spoločnosti, zavolá osobne.
Hadnagy urobil kariéru vysvetlením sociálneho inžinierstva, ale netrápi ho, či útočníci zdvihnú svoje triky. „Zlí chlapci nehľadajú údaje o tom, ako to urobiť, “ povedal pre SecurityWatch. "Už vedia ako. Problém je v tom, že dobrí chlapci nie." Hadnagy vo svojej práci verí, že môže učiť podnikovú Ameriku a bežných ľudí, ako kriticky premýšľať o svojich každodenných interakciách a ako reagovať v najhorších prípadoch. Hadnagy to vysvetlil takto: „Namiesto toho, aby vyzbrojil zbabelcami, zbrojil dobrých.“
Obrázok prostredníctvom používateľa Flickr Travis V.
