Многоликая социальная инженерия — CloudSavvy IT

таинственный мужчина держит маскиZephyr_p / Shutterstock.com

Социальные инженеры знают, какие кнопки нажимать, чтобы заставить вас делать то, что они хотят. Их проверенные временем методы действительно работают. поэтому киберпреступники неизбежно применили эти методы к киберпреступности.

Как работает социальная инженерия

С самого рождения мы запрограммированы на помощь и вежливость. Если кто-то задает вам вопрос, требуется сознательное усилие, чтобы не отвечать на него, особенно если он кажется безобидным. Это одно из поведений, которыми социальные инженеры манипулируют, чтобы добиться желаемого. Они делают это тонко и медленно, по частям выталкивая информацию из своей жертвы. Они будут перемежать безобидные вопросы с вопросами, которые подтолкнут вас к раскрытию того, что они хотят знать.

Социальная инженерия работает, манипулируя людьми, используя методы, которые влияют на основные человеческие качества. Квалифицированные социальные инженеры могут заставить вас сочувствовать им или их сфабрикованной ситуации. Они могут заставить вас нарушить правила, хотя бы на этот раз, либо потому, что вы сочувствуете им и хотите помочь, либо потому, что они причиняют боль, и вы действительно хотите, чтобы они перестали разговаривать по телефону. Они могут вызвать у вас беспокойство или панику, надежду или возбуждение. Затем они используют эти эмоциональные реакции, чтобы заставить вас действовать поспешно, часто чтобы предотвратить предполагаемую катастрофу или воспользоваться специальным предложением.

Атаки социальной инженерии могут произойти за один телефонный звонок. Они могут разыгрываться в течение определенного периода времени, поскольку постепенно укрепляют ложное взаимопонимание. Но социальная инженерия не ограничивается устным словом. Наиболее распространенные атаки социальной инженерии доставляются по электронной почте.

Все атаки социальной инженерии объединяет их цель. Они хотят пройти через ваши меры безопасности. С вами как их невольным сообщником.

Взлом человеческой природы

Люди использовали методы социальной инженерии с тех пор, как были мошенники. Афера «Испанский пленник» восходит к 1580-м годам. Богатый человек получает письмо от человека, утверждающего, что он представляет титулованного землевладельца, который незаконно содержится в плену в Испании под вымышленным именем. Их настоящая личность не может быть раскрыта, потому что это подвергнет его и его прекрасную дочь еще большей опасности.

Их единственная надежда на побег — подкупить своих охранников. Любой, кто внесет вклад в фонд взяток, будет многократно вознагражден, когда пленник будет освобожден и получит доступ к своим значительным финансовым активам. Любой, кто соглашается сделать пожертвование, встречает посредника, который собирает пожертвование.

Вскоре к жертве снова подошли. Возникло больше трудностей — пленника и его дочь расстреляют, у нас всего две недели! — и, конечно, требуются дополнительные деньги. Это повторяется до тех пор, пока у жертвы не будет пролита кровь или она не откажется отдать больше денег.

Подобные мошенничества действуют на разных людей по-разному. Некоторые жертвы попадают в ловушку, потому что это взывает к их благородным качествам, таким как доброта, сострадание и чувство справедливости. По мнению других, растущая враждебность между Великобританией и Испанией подтолкнула бы их к действию. Другие не преминули бы получить легкую прибыль.

Мошенничество с испанскими заключенными является елизаветинским эквивалентом и прямым предком «нигерийского принца» и других мошеннических электронных писем, которые по-прежнему приносят киберпреступникам деньги в 2021 году.

Большинство людей сегодня может распознать это как мошенничество. Но большинство современных атак социальной инженерии гораздо более изощренно. И спектр человеческих реакций на эмоциональные события не изменился. Мы по-прежнему запрограммированы таким же образом, поэтому мы по-прежнему уязвимы для этих атак.

Типы атак

Злоумышленник хочет, чтобы вы сделали что-то в его пользу. Их целью может быть сбор учетных данных или данных кредитной карты. Они могут захотеть, чтобы вы случайно установили вредоносные программы, такие как программы-вымогатели, клавиатурные шпионы или лазейки. Они могут даже захотеть получить физический доступ к вашему зданию.

Общей чертой всех атак социальной инженерии является то, что они пытаются вызвать чувство срочности. Так или иначе приближается крайний срок. Подсознательное сообщение получателю: «Действуй сейчас, не переставай думать». Пострадавший вынужден не допустить катастрофы, не пропустить специальное предложение и не допустить, чтобы кто-то попал в беду.

Фишинговые письма

Наиболее распространенная атака социальной инженерии использует фишинговые письма. Судя по всему, они из авторитетного источника, но на самом деле являются подделками, одетыми в ливрею настоящей компании. Некоторые представляют такую ​​возможность, как специальное предложение. Другие представляют проблему, которую необходимо решить, например проблему блокировки учетной записи.

Фишинговые письма очень легко изменить, чтобы они соответствовали новостям. Пандемия COVID-19 в 2020 году дала киберпреступникам идеальное прикрытие для рассылки фишинговых писем с новыми темами. Новости о пандемии, доступе к тестовым комплектам и запасам дезинфицирующего средства для рук использовались как крючки, чтобы заманить в ловушку неосторожных. В фишинговых письмах есть ссылка на зараженный веб-сайт или вложение, содержащее программу установки вредоносного ПО.

Телефонные звонки

Фишинговые письма рассылаются миллионами с общим основным текстом. Социальная инженерия по телефону обычно предназначена для конкретной организации, поэтому злоумышленники должны провести разведку в компании. Они будут смотреть на Встретиться с командой на сайте и проверьте профили участников команды в LinkedIn и Twitter.

Такая информация, как то, кто находится вне офиса в отпуске или посещает конференцию, руководит новой командой или продвигается по службе, может быть использована злоумышленниками в телефонных разговорах, чтобы получатель не сомневался, действительно ли звонящий из техподдержка, или из отеля, в котором остановились сотрудники отдела продаж, и так далее.

Обзвон сотрудников и выдача себя за техподдержку — обычная уловка. Новые сотрудники — хорошие цели. Они изо всех сил стараются угодить и не хотят попасть в какие-либо неприятности. Если служба технической поддержки звонит им и спрашивает, пытались ли они сделать что-то, чего им не следовало делать — например, попытаться получить доступ к привилегированным сетевым ресурсам, — сотрудник может переплатить и стать слишком готовым к сотрудничеству, чтобы очистить свое имя.

Социальный инженер может работать с этой ситуацией в своих интересах и в ходе разговора может выудить у сотрудника достаточно информации, чтобы скомпрометировать его учетную запись.

Техническая поддержка также может быть целью. Представившись старшим сотрудником, злоумышленник звонит в службу поддержки и жалуется, что находится в отеле и не может отправить важное электронное письмо со своего корпоративного аккаунта. На карту поставлена ​​огромная сделка, и время идет. Они говорят, что пришлют снимок экрана с сообщением об ошибке, используя свой личный адрес электронной почты. Инженер службы поддержки хочет, чтобы эта проблема была решена как можно скорее. Когда приходит электронное письмо, они сразу же открывают вложение, которое устанавливает вредоносное ПО.

Кто угодно может получить телефонный звонок по социальной инженерии. Техническая поддержка не имеет монополии. Злоумышленники могут выбрать из сотен вариантов.

Вход в ваше помещение

Злоумышленники будут изображать из себя любого, кто хочет получить доступ к вашему зданию. Были задействованы курьеры, поставщики провизии, флористы, пожарные инспекторы, инженеры по обслуживанию лифтов и принтеры. Они могут приехать неожиданно, или они могут позвонить заранее и записаться на прием. Запись на прием помогает установить, что злоумышленник является тем, кем он себя называет. В день встречи вы ожидаете, что приедет инженер-принтер, и один приедет.

Вместо того, чтобы говорить, что они собираются обслуживать принтер, они, скорее всего, скажут, что обновляют его прошивку или другую задачу, для которой не требуются инструменты или запасные части. Они будут очень обнадеживающими. Все, что им нужно, — это подключение к сети или подключение к одному из ваших компьютеров на несколько минут. Принтер даже не перейдет в автономный режим. Оказавшись на вашем предприятии и в вашей сети, они могут устанавливать любые вредоносные программы. как правило, это бэкдор, позволяющий им получить удаленный доступ к вашей сети.

Другой вид атаки требует где-нибудь спрятать небольшое устройство. За принтером — популярное место. Он находится вне поля зрения, а за ним обычно есть запасные сетевые и сетевые розетки. Устройство устанавливает зашифрованное соединение, называемое обратный туннель SSH на сервер злоумышленников. У злоумышленников теперь есть легкий доступ к вашей сети, когда они этого захотят. Эти устройства могут быть созданы с использованием Raspberry Pi или других дешевых одноплатных компьютеров и замаскированы под блоки питания или аналогичные безвредные устройства.

Защита от социальной инженерии

Социальная инженерия воздействует на людей, поэтому основная защита — это обучение персонала, а также четкие политики и процедуры. Персонал должен быть уверен, что его не накажут за соблюдение протокола. Некоторые компании, занимающиеся кибербезопасностью, предлагают обучение и ролевые игры со своими социальными инженерами. Увидеть методы в действии — мощный способ показать, что никто не застрахован.

Установите процедуры, которые дают персоналу четкие инструкции о том, что делать, если их просят нарушить протокол, независимо от того, кто их об этом спрашивает. Например, они никогда не должны сообщать службе поддержки свой пароль.

Для поиска новых устройств, подключенных к сети, следует проводить регулярное сканирование сети. Все, что необъяснимо, необходимо идентифицировать и исследовать.

Посетителей нельзя оставлять без присмотра, а их учетные данные следует проверять по прибытии на место.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *