Социјален инженеринг (безбедност)

Од Википедија, слободната енциклопедија
Прејди на: содржини, барај

Под социјален инженеринг најчесто се подразбира уметност на манипулирање со луѓе, во вршење на активности или откривање на доверливи информации. [1] Иако е сличен со изневерување на довербата или едноставна измама, терминот обично се однесува на изигрување или измама за целите на собирање на информации, измама, или пристап до компјутерски систем; во повеќето случаи напаѓачот никогаш не доаѓа лице-в-лице со жртвите. "Социјалниот инженеринг", како чин на психолошка манипулација, беше популаризиран од страна на хакерскиот консултант Кевин Митник . Терминот претходно бил поврзуван со општествените науки, но неговата употреба се раширила меѓу компјутерските професионалци.[2]

Техники на социјален инженеринг и термини[уреди]

Сите техники на социјален инженеринг, се базираат на специфични атрибути на човековото донесување одлуки, познати како когнитивни предрасуди .[3] Овие предрасуди, понекогаш нарекувани и "Бубачки во човечкиот хардвер", се експлоатираат во различни комбинации, за да се создадат техники за напад, од кои некои се наведени тука:

Техника на изговор[уреди]

Техника на изговор е чин на создавање и користење на измисленo сценарио (на изговор ) за да се нападне обележана жртва, на начин на кој се зголемува шансата дека жртвата ќе открие информации или ќе спроведе активности, кои во обични околности најверојатно не би ги направила. [4] Елаборираната лага , најчесто вклучува некои претходни истражувања или подготвување и користење на овие информации за имитирање (на пример, датум на раѓање, бројот на социјално осигурување , износот на последната сметка) за да воспостави легитимност во умот на жртвата. [5]

Оваа техника може да се користи за да се натераат компаниите да откријат информации за корисниците, а ја користат и приватните детективи за да добијат телефонски записи, корисни записи, банкарски записи и други информации директно од службата на претставници на компанијата. Информациите потоа може да се користат за да се воспостави уште поголема легитимност под построги сослушувања со менаџер, на пример, да се направат промени на сметка, специфични состојби на сметка, итн.

Техниката на изговор, исто така, може да се користи, кога некоја личност сака лажно да се претставува како: свој колега, полиција, банка, даночна власт, свештенство, осигурителни истражители - или било која друга личност која би можела да изгледа авторитетно во умот на целните жртви или со право да легитимира . Напаѓачот едноставно мора да подготви одговори на прашањата кои може да бидат поставени од страна на жртвата. Во некои случаи се што е потребно е глас што звучи авторитетно, сериозен тон, и способност брзо да се реагира.

Кражба преку правење диверзија[уреди]

Кражбата преку правење диверзија, исто така позната како "игра во катче" [6] или " игра зад аголот " потекнува од источниот крај на Лондон.

Накратко, кражба преку правење диверзија е "измама" применета од страна на професионални крадци, вообичаено против транспортна или курирска компанија. Целта е да се убедат лицата одговорни за легитимна испорака дека пратката се бара на друго место - односно "зад аголот". Со товарот / пратката пренасочени, крадците го убедуваат возачот да ја остави пратката во близина на, или далеку од адресата на примачот, во изговор дека таа "директно ќе пристигне" или "итно се бара некаде на друго место".

" Измамата " има многу различни аспекти, кои вклучуваат техники за социјален инженеринг со кои се убедуваат легитимните административци или персоналот за сообраќај на транспортни или курирски компании, да издадат инструкции на возачот да ги пренасочи пратките или товарот.

Друга варијација на ваквата кражба е стационирање на безбедносно комбе пред банка во петок навечер. Елегантно облечен полицаец ја користи фразата "Ноќе е побезбедно, господине". Со овој метод дуќанџиите и сл. лековерно го депонираат нивниот профит во комбето. Тие добиваат потврда за примениот профит, но подоцна оваа потврда излегува дека е безвредна. Слична техника беше користена пред многу години да се украде концертно пијано од производителот Steinway , од радио студио во Лондон. Изговорот бил: "Дојдовме да го сервисираме пијаното".

Мрежно рибарење[уреди]

Crystal Clear app xmag.svg Главна статија: „Мрежно рибарење.

Мрежно рибарење (или фишинг)е техника на добивање приватни информации преку измама. Типично, напаѓачот праќа e-меил кој се чини дека доаѓа од легитимна компанија-банка или кредитна компанија, со барање за "верификација" на информации и предупредување за некои сериозни последици доколку информациите не се верифицираат. Е-поштата обично содржи линк до лажни веб страници, кои се чинат легитимни-со логоа на компанијата и содржина, како и форма, која бара сè, од домашна адреса, до ПИН на кредитна картичка.

На пример, во 2003 е забележано зголемувањето на бројот на вакви измами, во кои корисниците добиваат е-меил наводно од eBay тврдејќи дека сметката на корисникот ќе биде откажана, ако не се кликне на линкот што е даден за да се ажурира кредитната картичка ( информации кои вистинскиот eBay веќе ги има ). Поради тоа што е релативно едноставно да се направи веб страница која личи на страница на легитимна организација, со имитација на HTML кодот, измамата ги наведува луѓето да мислат дека се контактирани од страна на eBay, а потоа, да мислат дека одат до сајт на eBay да ги обноват своите информации за сметката. Со спамирање големи групи на луѓе, "рибарот" смета дека меилот ќе го прочитаат процент на луѓе кои веќе давале броеви на кредитни картички на eBay легитимно, па би можеле да одговорат.

ИГО или рибарење преку телефон[уреди]

Оваа техника користи систем за Интерактивен гласовен одговор - ИГО (говорен автомат) (анг.Interactive voice response - IVR), за да рекреира легитимна звучна копија на IVR системот од банка или друга институција. Од жртвата е побарано (обично преку фишинг е-пошта) да се јави во "банката" преку ( идеално бесплатен ) број со цел да се "проверат" информации. Еден типичен систем ќе ја отфрлува најавата постојано, обезбедувајќи на тој начин жртвата да го внесе ПИН-от или лозинките повеќе пати, често откривајќи неколку различни лозинки. Повеќе напредни системи ја носат жртвата кај напаѓачот, кој се претставува како корисничка служба, за понатамошно испитување.

Една од тие системи дури може да снима типични команди ("Притиснете еден да ја смените лозинката, притиснете два за да зборувате со корисничката служба" ...) и да ги пушта рачно во реално време, давајќи изглед на говорен автомат без трошоци. Рибарење (фишинг) преку телефон се вика вишинг.

Наведување[уреди]

Наведувањето е како Тројанскиот коњ во реалниот свет, кој користи физички медиуми и се потпира на љубопитноста или алчноста на жртвата.[7] Во овој напад , напаѓачот остава инфицирани флопи дискети , CD-ROM или USB флеш дискови со малициозен софтвер, на локација каде може лесно да се најдат (бања, лифт, тротоар, паркинг), давајќи им љубопитен изглед, и едноставно чека жртвата да го користи уредот.

На пример, напаѓачот може да креира диск со корпоративно лого, лесно достапен од веб-страницата на жртвата, и да напише "Резиме за плата на извршителите Q2 2012" на предната страна. Напаѓачот потоа ќе го остави дискот во лифт или некаде во фоајето на целната компанија. Некој вработен може да го најде и потоа да го вметне дискот во компјутерот за да ја задоволи својата љубопитност, или некој добронамерен да го најде дискот и да го предаде во компанијата.

Во било кој случај, како последица, само со вметнување на дискот во компјутерот за да ја видите содржината, корисникот ќе инсталира штетен софтвер, најверојатно давајќи му на напаѓачот непречен пристап до компјутерот на жртвата и можеби, пристап до внатрешната компјутерска мрежа на целната компанијата.

Освен ако компјутерот не ја блокира инфекцијата, компјутерите на кои е поставено "автоматско отворање " на додадените медиуми, може да бидат компромитирани веднаш штом непријателскиот диск е вметнат.

Quid pro quo[уреди]

Quid pro quo значи услуга за услуга :

  • Напаѓачот се јавува на случајни броеви во компанија тврдејќи дека се јавува како техничка поддршка. На крајот ќе најде некој со легитимен проблем, благодарен што некој одговорил и да му помогне. Напаѓачот ќе "помогне" да се реши проблемот и во процесот, ќе побара од корисникот да типка команди кои му овозможуваат на напаѓачот пристап или стартување на малициозен софтвер.
  • Во анкета за безбедноста на информациите, од 2003 година , 90% од канцелариските работници им ја дале на истражувачите, она што тврдат дека била нивната лозинка, како одговор на анкетно прашање, во замена за ефтино пенкало.[8] Слични истражувања во подоцнежните години добиле слични резултати, користејќи чоколади и други евтини мамки , иако тие не направиле никаков обид да ги валидираат лозинките.[9]

Техника на искористувње[уреди]

Напаѓачот, кој бара влез на забрането подрачје каде што пристапот е без човечки надзор, со електронска контрола на пристап, на пример, со РФИД (Радио-фреквенциска идентификација) картички, едноставно оди зад лице кое има легитимен пристап. Поради учтивост, легитимното лице обично ќе ја одржи вратата отворена за напаѓачот. Легитимните лице може да не успеат да прашаат за идентификација поради повеќе причини, или може да го прифатат тврдењето дека напаѓачот го заборавил или изгубил соодветен белег за докажување идентитет. Напаѓачот исто така може да ја лажира акцијата на презентирање соодветен белег за докажување идентитет.

Други видови[уреди]

Обичните изневерувачи на доверба или измамници, исто така, може да се сметаат за "социјални инженери" во поширока смисла, во тоа што тие намерно мамат и манипулираат со луѓето, искористувајќи ги човечките слабости за да се здобијат со лична корист. Тие можат, на пример, да ги користат техниките на социјален инженеринг, како дел од ИТ измама.

Многу нов тип на техника на социјален инженеринг се измама ( spoofing ) или пробивање на ИД на луѓе кои имаат популарни е-меил идентификации, како што се Yahoo! , GMail , Hotmail итн. Меѓу многуте мотивации за измама се:

  • Мрежно рибарење на броеви на сметки на кредитни картички и нивни лозинки.
  • Пробивање на приватен е-меил и истории на разговорите и манипулирање со нив, користејќи вообичаени техники за уредување пред да бидат искористени за изнуда на пари и создавање на недоверба меѓу поединците.
  • Пробивање на веб-сајтови на компании или организации и уништување на нивниот углед.
  • Компјутерски вирус измами.

Контрамерки[уреди]

  • Организациите мора, на ниво на вработен / персонал, да воспостават рамки на доверба. (Односно, кога / каде / зошто / како чувствителните информации треба да се третираат?)
  • Организациите мора да утврдат кои информации се чувствителни и да се запрашаат за нивниот интегритет во сите форми. (односно Социјален инженеринг, Градењето на безбедноста, Компјутерска безбедност, итн)
  • Организациите мора да воспостават безбедносни протоколи за лица кои работат со чувствителни информации.
  • Вработените мора да бидат обучени за безбедносни протоколи релевантни за нивната позиција. (На пример, вработените мора да ги идентификуваат луѓето кои тежнеат кон чувствителни информации.) (Исто така: во ситуации како што tailgating, ако идентитетот на едно лице не може да биде потврден, вработените мора да бидат обучени учтиво да одбиваат.)
  • Работната рамка на организацијата мора да се тестира периодично, и овие тестови треба да се ненајавени.
  • Внесете го вашето критичко око во кој било од горенаведените чекори:. Не постои совршено решение за интегритет на информациите.[10]

Значајни социјални инженери[уреди]

Калифорниските полициски оддели истражуваат прекршувања на црвено светло[уреди]

Повеќе од 30 Калифорниски полициски оддели испраќаат лажни "казни" за поминување на црвено светло, наречени "дошепнувачки казни", во обид да ги прелажат регистрираните сопственици да го откријат идентитетот на лицето кое го управувало возилото за време на наводниот прекршок. Поради тоа што овие "билети" не се препратени до судот, тие не носат никаква правна тежина и (во САД) регистрираниот сопственик има право да молчи и нема никаква обврска да одговори на било кој начин. Во Калифорнија, вистински билет ќе го носи името и адресата на локалниот огранок на Врховниот суд и ќе го насочи примателот да го контактира тој суд, додека лажните "казни" генерирани од страна на полицијата нема.[11][12][13][14]

Кевин Митник[уреди]

Реформираниот компјутерски криминалец, а подоцна и консултант за безбедност Кевин Митник го популаризиран терминот "социјален инжинеринг", посочувајќи дека е многу полесно да се прелаже некој да ја даде лозинката за системот, отколку да се троши напор да се пробие системот.[15]

Браќата Бадир[уреди]

Браќата Реми, Музер и Шаде Бадир-од кои сите се слепи од раѓање успеале да постават голема телефонска и компјутерска измамничка шема во Израел во 1990-тите користејќи социјален инженеринг, гласовно имитирање, и компјутери со Брајов дисплеј.[16]

Кристофер Хаднагу[уреди]

Консултант за безбедност, автор, и основач на првата Официјална Рамка на Социјален Инженеринг. Вклучен во формализирање на концепти на Социјален инженеринг за подобро да се дефинираат разните закани што произлегуваат од него.[17][18]

Архангел[уреди]

Хакерот со бела капа , консултант за компјутерска безбедност, автор и писател за списанието "Phrack", Архангел (наречен "Најголемиот социјален инженер на сите времиња") покажал техники за социјален инженеринг со кои може да се добие сè, од лозинки, до пица, до автомобили, до авио билети.[19][20][21][22][23]

Стив Стасиуконис[уреди]

Консултант за безбедност за "Secure Network Technologies". Пронаоѓач на тест за USB диск за палецот, каде USB стапчиња тестираат дали вработените ќе ги извршуваат во рамките на нивните работни средини. Овој напад е сега еден од најпопуларните техники за социјален инженеринг во постоење и се користи за тестирање на човечкиот елемент на безбедност во целиот свет.

Мајк Ридпат[уреди]

Консултант за безбедност за IOActive, автор, и говорник. Нагласува техники и тактики за социјален инженеринг. Станал значаен по своите говори каде што пуштал снимени разговори и го објаснувал она што тој го правел за да се здобие со лозинки преку телефон.[24][25][26]

Други[уреди]

Други социјални инженери се: Френк Абегнејл, Дејвид Банон, Питер Фостер и Стивен Џеј Расел.

Закон[уреди]

Во обичајното право, техниката на изговор е нарушување на приватноста, деликт на присвојување.[27]

Изговори за добивање на телефонски записи[уреди]

Во декември 2006 година, Конгресот на САД, го одобри законот спонзориран од Сенатот, со кој изговорите за добивање на телефонски записи се федерално кривично дело со парична казна до 250.000 долари и десет години затвор за поединци (или парични казни до 500.000 $ за компании). Законот беше потпишан од страна на претседателот Џорџ Буш на 12 јануари 2007 година.[28]

Федерални закони[уреди]

Од 1999 година Актот на Грам-Лич-Блајли ( GLBA ) е федерален закон на САД кој посебно се однесува на наоѓањето изговори за добивање на банкарски записи, како незаконски акт, казнив според федералните закони. Кога деловниот субјект како што е приватен детектив, SIU осигурителен детектив и сл. врши било како вид на измама, тогаш тој потпаѓа под авторитетот на Федералната комисија за трговија (ФТЦ). Оваа федерална агенција има обврска и авторитет да се осигура дека потрошувачите не се предмет на било каква нефер или измамничка деловна практика. Во член 5 од Законот за Федерална комисија за трговија на САД, меѓудругото се вели: "Секогаш кога Комисијата има причина да верува дека било кое лице, партнерство или корпорација користела или користи било каков нефер начин на конкуренција или нефер/измамнички акт или практика во трговијата или акт кој влијае врз трговијата, и ако по оценка на Комисијата дека продолжувањето на постапката во врска со него ќе биде од интерес на јавноста, таа ќе покрене спор и ќе и служи на тоа лице, партнерство или корпорација, ќе покрене тужба во која се наведуваат сите обвиненија во тој поглед."

Со статутот се вели дека, кога некој се стекнува со лични нејавни информации од финансиска институција или од потрошувачот, неговата акција подлежи на статутот. Тоа се однесува на односот на потрошувачот со финансиска институција. На пример, случаите кога, некој користи лажни изговори или за да се стекне со адреса на потрошувачите од банката на потрошувачот, или да го натера потрошувачот да го открие името на својата банка, ќе бидат покриени. Детерминстичкиот принцип е дека се казнува само тогаш кога информациите се добиени преку лажни изговори. Иако продажбата на мобилни телефони бележи значително медиумско внимание, и телекомуникациските досиеја се во фокусот на двата закони кои во моментов се пред Сенатот на САД , многу други видови на приватни записи се купуваат и продаваат во јавниот пазар. Моментално е важно дека, легално е да се продаваат телефонски записи, но нелегално е ако се стекнеш со нив.[29]

Хјулит Пакард[уреди]

Патриша Дан , поранешен претседател на Хјулит Пакард, изјавила дека одборот на ХП ангажирал приватна истражителна компанија да истражува кој е одговорен за истекување на информации во рамките на одборот. Дан призна дека компанијата користи практиката на изговор да ги раздели телефонските записи на членовите на одборот и новинарите. Претседателката Дан подоцна се извини за овој чин и понуди да се повлече од бордот ако така одлучат членовите на одборот. [30] За разлика од федералниот закон, Калифорнискиот законот конкретно го забранува, ваквиот начин на изговори. Четирите обвиненија кои биле покренати против Дан биле отфрлени. [31]

Во популарната култура[уреди]

  • Во филмот ''Хакери'' , главниот лик се користи со изговор, кога го прашува безбедносниот чувар да му го даде телефонскиот број на модемот на ТВ станица, претставувајќи се како важен извршител.
  • Во книгата на Џефри Девер, Сината сегашност, една од методите која се користи од страна на убиецот Фејт, за да се доближи до своите жртви е токму социјален инженеринг за добивање доверливи информации.
  • Во филмот ''Патики'' , еден од ликовите се претставува како надреден на чуварот, со цел да го убеди дека нарушувањето на безбедноста е само лажна тревога.
  • Во филмот ''Аферата Томас Краун'', еден од ликовите преку телефон се претставува како надреден на чуварот во музејот, со цел да го одведе чуварот подалеку од неговото место.
  • Во филмот за Џејмс Бонд, Дијамантите се вечни , се гледа како Бонд добива влез во Вајт лабораториите со тогашните најнови картички за пристап до системот, користејќи техника на искористување. Тој само чека еден вработен да дојде да ја отвори вратата, потоа самиот претставувајќи се како новајлија во лабораторијата, лажира дека вметнува непостоечка картичка, додека вратата е отклучена за него од страна на вработениот.
  • Во телевизиско шоу Досиеја Рокфорд , ликот Џим Рокфорд често користи изговори во неговата истражувачка работа.
  • Во популарна ТВ емисија Менталистот, главниот лик Патрик Јане, често го користи изговорот да ги наведе криминалците да ги признаат злосторствата што ги сториле.

Разгледај[уреди]

Наводи[уреди]

  1. Goodchild, Joan. „Social Engineering: The Basics“, csoonline, 11 јануари 2010 (конс. 14 јануари 2010).
  2. Security engineering:a guide to building dependable distributed systems, second edition, Ross Anderson, Wiley, 2008 – 1040 pages ISBN 978-0-470.06852-6, Chapter 2, page 17
  3. Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
  4. The story of HP pretexting scandal with discussion is available at Davani, Faraz (14 август 2011). „HP Pretexting Scandal by Faraz Davani“. Scribd. http://www.scribd.com/doc/62262162/HP-Pretexting-Scandal. конс. 15 август 2011. 
  5. "Pretexting: Your Personal Information Revealed,"Federal Trade Commission
  6. http://trainforlife.co.uk/onlinecourses.php
  7. http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1
  8. Office workers give away passwords
  9. Passwords revealed by sweet deal
  10. Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.
  11. www.highwayrobbery.net "Police Going Too Far..."
  12. David Goldstein, CBS Television, Los Angeles "Are police tricking people into paying Snitch Tickets?"
  13. „The Right To Remain Silent“. „www.almanacnews.com“. 8 ноември 2011. http://www.almanacnews.com/news/show_story.php?id=10022. конс. 18 ноември 2011. 
  14. „Something Every Consumer Should Know“. „www.HandelontheLaw.com“. 27 март 2009. http://handelonthelaw.com/home/article_details.aspx?Article=78. конс. 18 ноември 2011. 
  15. Mitnick, K: "CSEPS Course Workbook" (2004), p. 4, Mitnick Security Publishing.
  16. http://www.wired.com/wired/archive/12.02/phreaks_pr.html
  17. http://www.social-engineer.org
  18. http://www.amazon.com/Social-Engineering-Art-Human-Hacking/dp/0470639539
  19. Usenet sample citing moniker use-several examples. 1990s to present.
  20. Editorial. "Pro-Phile on groups" Phrack Magazine, 6 October 1986, sc. 12.
  21. Editorial. "Line-noise" Phrack Magazine, 13 August 2003, sc. 2.
  22. "Are Hackers Everywhere?" Money Magazine, July 1997, Malcolm Fitch
  23. http://www.the.feds.arewatching.us/main.htm
  24. http://www.youtube.com/watch?v=uAb0si2u8eI
  25. http://www.ustream.tv/recorded/17736407
  26. http://www.brighttalk.com/webcast/170/34997
  27. Restatement 2d of Torts § 652C.
  28. Congress outlaws pretexting, Eric Bangeman, 12/11/2006 11:01:01, Ars Technica
  29. Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; United States of America. ISBN 0-471-23712-4
  30. HP chairman: Use of pretexting 'embarrassing' Stephen Shankland, 2006-09-08 1:08 PM PDT CNET News.com
  31. Calif. court drops charges against Dunn

Корисна литература[уреди]

Надворешни врски[уреди]