Nedavne vijesti su me uvjerile kako ljudske emocije i misli mogu biti (ili se) koriste za korist drugih. Gotovo svatko od vas poznaje Edwarda Snowdena, zviždača NSA-a koji je širom svijeta. Reuters je izvijestio da je dobio oko 20-25 NSA ljudi predati svoje lozinke za njega za oporavak podataka koji je kasnije procurio [1]. Zamislite kako je krhka mreža vaše tvrtke, čak i sa najsnažnijim i najboljim sigurnosnim softverom!
Što je socijalno inženjerstvo
Ljudska slabost, znatiželja, emocije i druga obilježja često su korišteni u ilegalnom izdavanju podataka - bilo u bilo kojoj industriji. Ipak, IT industrija je imala naziv društvenog inženjeringa. Ja definiram socijalni inženjering kao:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Evo još jedne crte iz iste vijesti [1] koje želim citirati - "Sigurnosne agencije teško se slažu s idejom da tip u sljedećem kabinu ne može biti pouzdan„. Malo sam izmijenio izjavu kako bih se uklopila u kontekst ovdje. Možete čitati cijeli članak putem veze u odjeljku Reference.
Drugim riječima, nemate potpunu kontrolu nad sigurnošću vaših organizacija s društvenim inženjeringom koji se mnogo brže razvijaju od tehnika koje se mogu nositi s njom. Socijalno inženjerstvo može biti nešto poput pozivanja nekoga tko kaže da ste tehnička podrška i pitajte ih za svoje vjerodajnice za prijavu. Morate primati poruke o krađi identiteta o lutrijama, bogatim ljudima na Srednjem istoku i Africi koji žele poslovne partnere i ponudama za posao koji će vas tražiti.
Za razliku od napada phishinga, društveno je inženjerstvo mnogo izravna interakcija s osobom na osobu. Bivši (phishing) zapošljava mamac - to jest, ljudi "ribolov" nude vam nešto u nadi da ćete pasti za to. Društveno je inženjerstvo više o osvajanju povjerenja internih zaposlenika kako bi otkrili detalje tvrtke koje su vam potrebne.
Čitati: Popularne metode društvenog inženjerstva.
Poznate tehnike društvenog inženjerstva
Mnogo je, i svi koriste temeljne ljudske tendencije za ulazak u bazu podataka bilo koje organizacije. Najčešće korištena (vjerojatno zastarjela) tehnika socijalnog inženjeringa je pozvati i upoznati ljude i uvjeriti ih da su od tehničke podrške koja treba provjeriti vaše računalo. Oni također mogu stvoriti lažne osobne iskaznice za uspostavljanje povjerenja. U nekim slučajevima, krivci se pojavljuju kao državni dužnosnici.
Druga poznata tehnika je zaposliti svoju osobu kao zaposlenika u ciljnoj organizaciji. Sada, budući da je ovo vaš kolega, možete mu povjeriti pojedinosti tvrtke. Vanjski zaposlenik može vam pomoći s nečim, tako da se osjećate obvezatnima, a to je kad mogu izvući maksimum.
Također sam pročitao neka izvješća o ljudima koji koriste elektroničke darove. Fantazivni USB stick koji vam je dostavljen na vašu adresu tvrtke ili olovku koja leži u vašem automobilu može dokazati nepogode. U slučaju, netko je namjerno ostavio neke USB diskove na parkiralištu kao mamci [2].
Ako vaša mreža tvrtke ima dobre sigurnosne mjere na svakom čvoru, blagoslovljeni ste. Inače ti čvorovi omogućuju jednostavan prolaz za zlonamjerni softver - u taj dar ili "zaboravljeni" obični pogoni - na središnje sustave.
Kao takav ne možemo pružiti sveobuhvatan popis društvenih metoda inženjeringa. To je znanost u srži, u kombinaciji s umjetnošću na vrhu. I znate da ni jedan od njih nema nikakvih granica. Društvene inženjerske djelatnosti nastavljaju dobivati kreativne pripreme softvera koji također mogu zloupotrijebiti bežične uređaje koji imaju pristup Wi-Fi-ju tvrtke.
Čitati: Što je društveno projektirana zlonamjerni softver.
Spriječiti socijalno inženjerstvo
Osobno, mislim da ne postoji nikakav teorem koji administratori mogu koristiti kako bi spriječili hakiranje društvenog inženjeringa. Tehnike socijalnog inženjeringa i dalje se mijenjaju, pa stoga IT administratorima postaje teško pratiti ono što se događa.
Naravno, potrebno je voditi karticu o društvenim inženjerskim vijestima tako da je dovoljno obaviješten da poduzme odgovarajuće sigurnosne mjere. Na primjer, u slučaju USB uređaja, administratori mogu blokirati USB pogone na pojedinačnim čvorovima dopuštajući ih samo na poslužitelju koji ima bolji sigurnosni sustav. Isto tako, Wi-Fi treba bolje šifriranje od većine lokalnih ISP-ova.
Osposobljavanje zaposlenika i provođenje slučajnih testova na različitim skupinama zaposlenika mogu pomoći u prepoznavanju slabih točaka u organizaciji. Bilo bi lako trenirati i opreziti slabije pojedince. Upozorenje je najbolja obrana. Stres bi trebao biti da podaci o prijavi ne bi trebali biti podijeljeni niti s voditeljima tima - bez obzira na pritisak. Ako voditelj tima mora pristupiti prijavi korisnika, može koristiti glavnu lozinku. To je samo jedan prijedlog da ostanemo sigurni i izbjegavamo hackove društvenog inženjeringa.
Dno crta je, osim zlonamjernog softvera i on-line hakera, IT ljudi moraju voditi brigu o društvenom inženjerstvu previše. Dok identificiraju metode kršenja podataka (kao što su zapisivanje lozinki itd.), Administratori bi također trebali osigurati da njihovo osoblje bude dovoljno pametno za prepoznavanje tehnike društvene inženjerstva kako bi se to potpuno izbjeglo. Što mislite o najboljim metodama za sprečavanje socijalnog inženjeringa? Ako ste naišli na bilo koji zanimljiv slučaj, podijelite s nama.
Preuzmite ovu knjigu o društvenim napadima koje je Microsoft objavio i saznajte kako možete otkriti i spriječiti takve napade u vašoj organizaciji.
Reference
[1] Reuters, Snowden uvjerio NSA zaposlenika u dobivanje njihove Prijava Info
[2] Boing Net, Olovke Pogoni koji se koriste za širenje zlonamjernih programa.
