Video: "Social Farter" PSA by Canadian Health Ministry (Oktober 2024)
Social engineering er det, der driver phishing-e-mails og ondsindede websteder, der er klædt ud til at ligne sikre, populære websteder. Under en diskussion med Chris Hadnagy, Chief Human Hacker hos Social-Engineer Inc., spurgte jeg ham, hvordan man kunne få øje på disse svindel. Hans råd gentager, hvad vi ofte har fortalt læserne: Vær altid mistænkelige.
Mere end en Con
Fra min diskussion med Hadnagy er det klart, at noget af det, vi kalder social engineering, er de samme tricks, som folk har brugt indflydelsesbeslutninger i årevis. Fastfood-industrien udforskede for eksempel berømt, hvilke farver der ville tilskynde folk til at spise hurtigere. Falske spirituelle fra det 19. århundrede (som inkluderer medlemmer af min familie) og bruger i dag en taktik kaldet "kold læsning" for at narre ofrene til at afsløre information om sig selv.
Men der er mere til social engineering end billige tricks, som demonstreret af Social Engineering Capture the Flag Competition afholdt på Def Con. Her tjener deltagere point for information, de indsamler fra forskningsvirksomheder, og ved at kontakte disse virksomheder direkte. Hadnagy sagde, at de mest scorede deltagere også gjorde mest undersøgelse, hvilket viser, hvor nyttigt det er at kende dine mål.
Desværre er det nu et godt tidspunkt at være socialingeniør, der forsker eller indsamle open source-information. Hadnagy forklarede, at virksomheder og enkeltpersoner lægger en masse information på sociale medier, hvoraf en stor del kan bruges i social engineering-angreb. Tidligere kiggede vi på, hvordan svindlere forsøgte at bruge oplysninger indsamlet fra Facebook for at få deres svindel til at virke mere tiltalende - nogle gange med morsomme resultater.
Målretning af følelser
En af de bedste socialtekniske taktikker er at forhindre dig i at tænke kritisk, normalt ved at målrette følelser. Hadnagy sagde, at et angreb, der næsten narrede ham, hævdede at være en Amazon-forsendelses-e-mail. ”Det var noget personligt, noget, der påvirkede mit liv, og noget, der var vigtigt for mig, ” sagde han.
I netop dette angreb modtog Hadnagy en e-mail, hvor han sagde, at en af hans vigtige Amazon-ordrer var forsinket på grund af et afvist kreditkortnummer. I dagene op til en større konference sagde Hadnagy, at han var overarbejdet og klikkede på linket i e-mailen - i stedet for at besøge Amazon direkte. Den side, han blev taget til, var godt udformet, men heldigvis bemærkede han domænet ".ru", inden han indtastede personlige oplysninger.
Selvom det var enkelt, var denne taktik meget effektiv. "Jeg er den fyr, der på grund af hvad jeg gør phished over 190.000 mennesker i de sidste par måneder, " sagde Hadnagy under henvisning til hans konsulentarbejde. "Jeg faldt næsten for dette angreb."
En anden fordel ved at appellere til følelser er, at det ikke kræver den slags forskning, de bedste sociale ingeniører har ansat. "Det, vi ser, er at vælge ting, der er vigtige for masserne." Hadnagy forklarede, at dette inkluderer UPS-forsendelse, Amazon-ordrer og PayPal-overførsler.
Masseappel fungerer også godt til transmission af en masse, en anden hyppig taktik. "De sender disse til millioner af mennesker ad gangen, så de er ligeglade med, om de får 100 procent, " sagde Hadnagy. "10 procent er stadig tusinder af kompromitterede konti."
Forbliver i sikkerhed
Mange af de taktikker, der bruges til at se phishing-e-mails, gælder også for social engineering. Alt, der lyder for godt til at være sandt - eller for dårligt til at være sandt - er sandsynligvis ikke sandt. Taktik som at svæve over links for at se den fulde URL, manuelt indtaste webadresser og undgå links, der ankommer ud af det blå, er alt sammen lyd taktik.
Men den levende kaldende del af konkurrencen Capture the Flag fremhæver en anden facet af social engineering: institutionel tillid. I år stillede mange af deltagerne sig som kolleger eller leverandører, hvilket gav medarbejderne hos målselskaberne en øjeblikkelig grund til at stole på dem. Nogle gange lønner det sig at stille spørgsmål, når nogen, der hævder at være administrerende direktør for dit firma, ringer til dig personligt.
Hadnagy har lavet en karriere, der forklarer social engineering, men han er ikke bekymret for, hvis angribere henter hans tricks. ”De dårlige fyre leder ikke efter dataene om, hvordan man gør dette, ” sagde han til SecurityWatch. ”De ved allerede hvordan. Problemet er, at de gode fyre ikke gør det.” Gennem sit arbejde tror Hadnagy, at han kan lære erhvervsamerika og almindelige folk, hvordan man tænker kritisk om deres daglige interaktion, og hvordan man reagerer i værste fald scenarier. Hadnagy forklarede det på denne måde: "I stedet for at bevæge de onde fyre, armer det de gode fyre."
Billede via Flickr-bruger Travis V.
