Domanda:
L'ingegneria sociale è una minaccia reale
Marek Sebera
2012-02-20 02:32:25 UTC
view on stackexchange narkive permalink

Ho recentemente finito il libro The Art of Deception: Controlling the Human Element of Security di Kevin Mitnick

Il libro è stato pubblicato il 4 dicembre 2002. Non si parla solo delle tecniche descritte in questo libro, ma i modi utilizzati dagli ingegneri sociali sono ancora una minaccia oggi?

Penso che ora, mentre ci siamo spostati ad almeno 10 anni dal libro e dai problemi in esso descritti, dovremmo essere immuni a tali attacchi, in quanto possiamo verificare rapidamente qualsiasi informazione ci venga presentata e con possibilità di utilizzare cyphering, connessioni di rete mobile ad alta velocità, sistemi di controllo dei privilegi, identificazione biometrica , ecc ...

Vivo in un falso senso di sicurezza o è paura che parli da parte mia?


E ora puoi pensare se fosse un ingegneria sociale per porre questa domanda e ottenere tutte le tue preziose conoscenze oppure no. :-)

* "I dilettanti hackerano i sistemi, i professionisti hackerano le persone" * - Bruce Schneier
Senza essere uno specialista, direi che può andare in entrambe le direzioni. È più facile ottenere informazioni oggi rispetto a 10 anni fa.
Wow. Solo wow. Non riesco a pensare a una minaccia alla sicurezza più efficace dell'ingegneria sociale.
Questo è solo parzialmente rilevante (e quindi non garantisce una risposta), ma ** l'ingegneria sociale è resa molto più semplice oggi con le informazioni personali di tutti là fuori in vista del pubblico ** su tutti quei Facebook, Twitter e what-have-yous. Se ad es. sapere che il CEO è andato alla Someplace High School insieme al CTO, come si chiama il suo cane, cosa ha mangiato a cena ieri e che oggi non è in ufficio, ti dà molta più influenza (vedi gli scenari descritti nelle risposte ; Sono abbastanza sicuro che ognuno di questi bit di dati si adatterebbe bene in un posto o nell'altro).
Sei sicuro di aver letto il libro?
Vorrei anche consigliare Ghost in the wire, di Kevin Mitnick. Libro fantastico che mostra anche alcune tecniche di ingegneria sociale (http://www.amazon.com/Ghost-Wires-Adventures-Worlds-ebook/dp/B0047Y0F0K)
Rilevante: http://www.smbc-comics.com/index.php?db=comics&id=2526#comic
No, non è affatto una minaccia. A proposito, StackExchange sta avendo problemi con il database, potreste inviarmi tutti le vostre password in modo che io possa aggiornare le cose? ;)
Sette risposte:
#1
+168
Chris Dale
2012-02-20 03:58:40 UTC
view on stackexchange narkive permalink

Sicuramente vivi in ​​un senso di falsa sicurezza! L'ingegneria sociale è molto diffusa ancora oggi, e dubito che stia per cambiare nei decenni, se non mai.

Ecco alcune brevi spiegazioni sul perché funziona l'ingegneria sociale. È difficile coprire tutto perché l'ingegneria sociale è un campo molto ampio.

Alcuni motivi per cui l'ingegneria sociale funziona (dal libro citato in fondo):

  • La maggior parte delle persone ha il desiderio di essere educati, soprattutto con gli estranei
  • I professionisti vogliono apparire ben informati e intelligenti
  • Se vieni lodato, spesso parlerai di più e divulgherai di più
  • La maggior parte delle persone non mentirebbe per il gusto di mentire
  • La maggior parte delle persone risponde gentilmente alle persone che sembrano preoccupate per loro

Essere d'aiuto

Di solito gli esseri umani vogliono aiutarsi a vicenda. Ci piace fare cose belle!

  • Mi imbatto nella reception di un grande ufficio aziendale con le mie carte inzuppate di caffè. Parlo con l'addetto alla reception e gli spiego che ho un colloquio di lavoro tra 5 minuti, ma ho appena rovesciato il caffè su tutte le mie carte. Chiedo quindi se l'addetto alla reception può essere così gentile e me li stampo di nuovo con questa chiavetta USB che ho.

    Questo potrebbe portare a un'effettiva infezione del PC del receptionist e potrebbe farmi prendere piede all'interno della rete.

Usare la paura

La paura di fallire o non fare come ordinato:

  • La pagina Facebook del direttore dell'azienda (John Smith) (o qualsiasi altra fonte di informazione) rivela che è appena partito per una crociera di 3 settimane. Chiamo la segretaria e con voce autoritaria dico "Ciao, sono Chris che chiama. Ho appena parlato al telefono con John Smith, si sta divertendo molto durante la sua crociera con sua moglie Carla e i bambini. Tuttavia, siamo in nel mezzo dell'integrazione di un sistema aziendale molto importante e mi ha detto di chiamarti in modo che tu possa aiutarci. Non poteva chiamarsi perché stanno andando in safari, ma è davvero urgente. Tutto quello che devi fare è prendere la chiavetta USB che gli è indirizzata nella posta e collegala, avvia il computer e abbiamo finito. Il progetto sopravvive!

    Grazie mille! Sei stato di grande aiuto! certo che John Smith ti riconoscerà per questo atto di disponibilità. "

Giocare sulla reciprocità

  • Il portellone. Ti tengo la porta d'ingresso e ti passo velocemente dietro. Quando apri la porta successiva, che è abilitata per la sicurezza, mi dirigo nella stessa direzione e la maggior parte delle persone proverà a ripagare l'azione utile tenendo di nuovo la porta per te, permettendoti così di entrare in un posto dove non dovresti essere. Preoccupato di essere scoperto? Nah .. Dici solo che ti dispiace e che hai sbagliato strada.

    Il bersaglio si sentirebbe quasi obbligato a tenerti la porta!

Sfruttare la curiosità

  • Prova a far cadere 10 chiavette USB in varie posizioni della tua organizzazione. Non devi metterli in posti troppo evidenti. L'USB dovrebbe avere un programma di casa del telefono con esecuzione automatica in modo da poter vedere quando qualcuno collega la chiavetta USB e dovrebbe teoricamente essere sfruttato.

    Un'altra versione di questo consiste nel rilasciare chiavette USB con un singolo documento PDF chiamato ad es. "John Smith - Norway.pdf". Il documento PDf contiene un exploit di Adobe Acrobat Reader (ce ne sono a tonnellate) e una volta che l'utente fa clic sul documento sarà di sua proprietà. Ovviamente, ti sei assicurato che l'exploit sia adattato alla versione specifica di Adobe dell'organizzazione di destinazione. Sarà naturale per la maggior parte delle persone aprire il documento in modo che possano provare a restituire la chiavetta USB al suo proprietario.

    • Un altro esempio di curiosità (forse un altro termine lo spiega meglio) sono tutte queste mail di SPAM o cattive pubblicità su Internet che ti dicono che hai vinto qualcosa o un principe nigeriano ti sta offrendo un sacco di soldi se tu può aiutarlo. Sono sicuro che tu abbia già familiarità con questi, ma questi sono anche attacchi di ingegneria sociale e il motivo per cui non si sono fermati è che funzionano ancora!

Questi sono solo alcuni esempi. Ovviamente ce ne sono molti altri!

Possiamo anche dare uno sguardo agli eventi storici di ingegneria sociale:

HBGary

Storia completa può essere letto qui (la pagina 3 contiene la parte di ingegneria sociale)

  • L'anno scorso HBGary è stato violato. Questo attacco ha coinvolto molti passaggi diversi, ma anche un aspetto di ingegneria sociale. Per farla breve, l'hacker ha compromesso l'account di posta elettronica di un VIP in azienda e ha inviato un'e-mail a un amministratore del sistema di destinazione dicendo qualcosa del genere: "Ciao John, sono attualmente in Europa e sto rimbalzando tra gli aeroporti. Can apri SSH su una porta numerata per me proveniente da qualsiasi IP? Ho bisogno di fare un po 'di lavoro ". Quando l'amministratore riceve questa e-mail, ritiene che sia naturale rispettarla, visto che l'e-mail proviene da una fonte attendibile.

    Ma non è così! L'aggressore aveva la password per l'account, ma il login non funzionava! Quindi invia una e-mail all'amministratore "Ehi di nuovo, sembra che non funzioni. La password è ancora corretta? Qual era di nuovo il nome utente?". Ora ha anche fornito la password effettiva per il sistema (l'attaccante l'aveva dalla precedente compromissione di un altro sistema nello stesso hack), dando all'autore dell'attacco molta più fiducia da parte dell'amministratore. Quindi, ovviamente, l'amministratore si conforma e comunica all'aggressore il suo nome utente.

L'elenco in alto proviene dal libro " Social Engineering: The Art of Human Hacking" e lo consiglio vivamente!

Favorire la domanda (principalmente) per questa risposta.
@MarekSebera, sei il benvenuto. Spero che consiglierai la community ai tuoi amici e colleghi!
Oltre a tutto ciò che è menzionato in questa risposta, pensa a situazioni di vita normale in cui ti sei sentito un disgraziato o sinceramente convinto di dover comprare qualcosa o dare informazioni. Gli sforzi di vendita e marketing, campagne politiche, ecc. Utilizzano tutte le stesse tecniche psicologiche per raggiungere determinati obiettivi. Le tecniche potrebbero essere vecchie ma l'essere umano non è cambiato molto e in quest'era di maggiore connettività, ci sono già una tonnellata dei tuoi dati in pubblico.
Un altro esempio recente: Mat Honan http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/
#2
+29
ordag
2012-02-20 03:31:23 UTC
view on stackexchange narkive permalink

Sì, qualsiasi sistema è debole quanto il membro più debole , e questo è l'essere umano , e lo sarà sempre.

Potresti essere "immune" per alcune di queste tecniche più ovvie ora, ma questo vale anche per la segretaria stressata che riceve una telefonata dal "IT dipartimento " per cercare rapidamente alcune informazioni importanti sul computer del suo capo che non può aspettare fino a dopo il prossimo fine settimana, oh e quella strana finestra che potrebbe apparire e fare qualche domanda non importante, deve semplicemente fare clic su Accetta codice>. Certo che lo farà ... lo faranno tutti nella situazione sbagliata ...

sì, ma nella maggior parte dei casi particolari simili a questo, dovremmo essere in grado di eliminare la possibilità di violare il sistema come questo, semplicemente applicando le convenzioni di sicurezza. Il che significa che non permettiamo alla segretaria di fare nulla sul computer del suo capo, perché sarebbe una violazione della sicurezza ...
@MarekSebera: che aiuta davvero solo se il capo stesso non è suscettibile agli attacchi di ingegneria sociale. E questo sarebbe un presupposto molto ottimistico.
totalmente in disaccordo, gli esseri umani non sono ** sempre ** il membro più debole. Se qualche server accetta solo connessioni ftp per il trasferimento di file, tutto ciò che devi fare per ottenere l'accesso è annusare alcuni pacchetti per leggere il nome utente e la password, dov'è l'ingegneria sociale in questo? L'essere umano era l'elemento più debole? Per quanto riguarda la parte "sarà sempre", non so da dove prendi le tue informazioni.
@JoãoPortela È possibile annusare tali pacchetti ftp e ottenere gli stessi diritti di accesso dell'utente osservato. Oppure puoi ingannare l'amministratore del server per creare un account root per te. ** Ovviamente non tutto il resto è sicuro perché il comportamento umano non lo è. ** Gli esseri umani tendono a guardare oltre il limite, non sono macchine rigorose che verificano solo: "Nome utente. Ok. Password. Ok." ma invece (inconsciamente) analizza il contesto: "Posso fidarmi di quella persona anche se ci sono delle incongruenze?". E spero che saremo sempre l'elemento più debole, perché quella debolezza è la fiducia, e non vorrei darla su.
@ordag Il punto che stavo cercando di sottolineare con il mio esempio, era che l'elemento ** più debole ** non era l'elemento umano ma piuttosto l'elemento tecnico (non stavo in alcun modo sottintendendo che l'ingegneria sociale attacchi dove impossibile).
@JoãoPortela ovviamente ciò che intende per "gli esseri umani saranno sempre l'elemento più debole" è che l'elemento umano è quello che non può essere facilmente o completamente indurito contro l'attacco - e questo è improbabile che cambi mai.
Inoltre, onestamente direi che un server FTP aperto a una rete non sicura È stato un problema umano, così come trovare le password nelle e-mail. È come acquistare una serratura della porta del bagno che puoi sbloccare con le unghie e usarla per proteggere la tua porta d'ingresso - I sistemi vanno bene, li stai implementando in modo sbagliato!
-1
@BillK se seguiamo quella strada tutto è un problema umano poiché il software è scritto da umani, i server sono configurati da umani, ecc. Ecco perché ho detto "dov'è l'ingegneria sociale in questo?", Cercando di evitare di andare giù lo stesso itinerario.
#3
+17
StupidOne
2012-02-20 20:46:45 UTC
view on stackexchange narkive permalink

L'ingegneria sociale (SE) non riguarda solo lo sfruttamento delle informazioni di cui dispone l'attaccante, ma anche lo sfruttamento dei modelli di comportamento (umano).

Per spiegare questo, facciamo un piccolo esercizio: dì ad alta voce il colore, non la parola.

enter image description here

Riesci a vedere l '"exploit" qui? L'uso in situazioni di vita reale di questo "exploit" è molto discutibile, ma ci mostra molto chiaramente come il nostro cervello può essere manipolato anche se abbiamo le informazioni valide (abbiamo tutti imparato i colori quando eravamo bambini).

L'esempio della vita reale potrebbe essere qualcosa del genere: supponiamo che tu voglia che la segretaria metta la tua USB nella sua macchina. Andare da lei e chiederle gentilmente di farlo potrebbe essere rifiutato, soprattutto se ci sono politiche che lo vietano. Ma potresti vestirti, versare il caffè sulla camicia / sui pantaloni e sulle carte e poi andare da lei, tenendo quelle carte e dicendo: "Sono così in ritardo per la riunione e mentre stavo guidando fino a qui, il gatto è corso fuori davanti alla mia macchina e ho iniziato a rompere molto forte. Il gatto è sopravvissuto, ma i miei documenti no. So che questa è una strana richiesta, ma per favore, potresti stamparla per me? Sono davvero in ritardo e il tuo capo potrebbe essere davvero arrabbiato con me! "

Questo si chiama pretesto e fondamentalmente è un ruolo svolto da SEr. Cosa stiamo facendo con questo pretesto? Stiamo sfruttando le emozioni. Se viene riprodotto bene e le tue microespressioni sono autentiche, molto probabilmente farà quello che vuoi. Perché? Perché noi umani siamo coccolati in questo modo. Sì, potrebbe sapere che inserire un dispositivo sconosciuto nel suo PC potrebbe essere dannoso; sì, potrebbe essere istruita al riguardo, ma siamo seri, hai cercato di non picchiare il gatto, non hai bevuto il tuo caffè, ti sei rovinato il vestito, sei in ritardo all'incontro, il capo sarà arrabbiato con te e ora qualche politica le chiede di essere scortese con te. Dai... Tuttavia, la parte fondamentale qui è metterla nell'umore giusto - dispiacersi per te. Per fare ciò, le tue microespressioni devono essere interpretate come vere (genuine) da lei. Se hai giocato bene le tue carte, hai gli stessi effetti dei colori. Sa che è qualcosa che non dovrebbe fare (colore delle parole), ma le emozioni le dicono il contrario (significato delle parole).

Un altro trucco che SEr può attirare sul bersaglio è, così chiamato, Esperimento sul cane di Pavlov. Allora, cosa c'entra il cane sbavante con ITSec? Diciamo che voglio sapere della sicurezza fisica sul posto di lavoro. Sai che non dovresti condividere queste informazioni con me. So anche che dopo il lavoro vieni sempre al pub locale per un drink. Un giorno mi presento e iniziamo a chiacchierare. All'inizio si trattava solo della tua bella macchina. Poi abbiamo iniziato a parlare di donne al bar, poi delle nostre ex, delle vacanze dell'anno scorso e così via ... Tutto sommato, qualcosa di cui non è insolito parlare, ma viene dalla vita privata. Quando ci siamo incontrati, hai notato che ogni volta che faccio una domanda colpisco il tavolo con la sigaretta. All'inizio potrebbe anche essere un'abitudine fastidiosa, ma poi l'hai semplicemente ignorata. Dopo pochi giorni / settimane in cui hai iniziato a sentirti a tuo agio con me, ho iniziato a chiederti del tuo lavoro e del tuo ambiente di lavoro. E poco a poco, mi hai detto quello che volevo sapere sulla sicurezza fisica nella tua azienda.

Allora cosa ho fatto qui? Parlando casualmente con te, ho allenato il tuo cervello a darmi risposte ogni volta che colpivo il tavolo con una sigaretta. Anche se questo non è un lavaggio del cervello, e così facendo non mi diresti i tuoi segreti più oscuri, immagina questo come - sbucciare uno strato di cipolla. Il secondo livello era la fiducia che ho guadagnato con il tempo trascorso con te al bar. E così via ... Ti ho manipolato e questo semplice trucco mi ha aiutato a non sollevare bandiere rosse quando ti ho posto domande delicate. Ancora una volta, non si trattava di informazioni che hai (non dirlo a estranei), ma del tuo comportamento e reazione al mondo esterno.

Quello che sto cercando di dire qui è: non importa quello che sai, se ti trovi nella giusta situazione, farai ciò che ti viene chiesto. Perché? Perché è nella nostra genetica.


Solo per fornire uno o due esempi "fuori dal settore IT" di come le informazioni / conoscenze di cui dispone il target possono essere prive di significato se lui / lei viene attaccato da esperti SEr. In tribunale, le prove sono fatti puri e freddi, tuttavia, un buon avvocato può, indipendentemente dalla posizione negativa del suo cliente, trasformare questi fatti a suo favore usando SE.

Prima di acquistare un'auto, informati su qual è il migliore per te. Quando arrivi al negozio per acquistarne uno, il venditore può convincerti che dovresti acquistare un'auto più costosa, ancora una volta, utilizzando SE.

Inoltre, guarda questo video. Come ha fatto? Semplicemente agendo normalmente. Niente di più.

Ack! Mi fa sempre male il cervello guardando quelle combinazioni di parole / colori D:
#4
+10
Rory Alsop
2012-02-20 03:41:19 UTC
view on stackexchange narkive permalink

È una delle forme più utilizzate di attacco mirato quando l'obiettivo è l'informazione interna: lavorando con team di attacco di ingegneria sociale per molti anni abbiamo avuto accesso a sale server e aree protette, ricevuto documenti riservati, ricevuto account su sistemi sensibili, ecc.

Le persone, in generale, sono disponibili e ignoranti. Sembra duro, ma nel complesso, le persone cercheranno di aiutare qualcuno in difficoltà, soprattutto se quella persona sembra o suona non minacciosa. E quando si trovano di fronte a qualcuno che sa di più su un sistema o una procedura, molti faranno ciò che gli viene chiesto di fare.

Un modo relativamente economico per migliorare la sicurezza nella tua organizzazione - formazione di sensibilizzazione ogni anno. In termini di rapporto qualità / prezzo, ciò può essere più efficace della spesa per la sicurezza IT.

non suona così duro, se lo sai, è una verità dolorosa. ** Le persone sono davvero disponibili e ignoranti, se considerate come un gruppo **, e non è nel reparto IT. capacità, per cambiare questo. A partire dai * corsi di sensibilizzazione ogni anno *, hai qualche consiglio? Penso che lo apprezzeremmo tutti ;-)
#5
+6
dr jimbob
2012-02-20 03:29:58 UTC
view on stackexchange narkive permalink

L'ingegneria sociale è ancora molto spesso l'anello più debole. Le persone generalmente si fidano e talvolta le persone che risolvono problemi di supporto tecnico di basso livello come la reimpostazione della password, sono manodopera poco qualificata e poco addestrata che non è particolarmente attenta alla sicurezza.

Inoltre, la sicurezza delle informazioni non è necessariamente una priorità così alta come ad esempio la soddisfazione del cliente quando i sistemi / le politiche vengono progettati, a causa dei punti deboli dell'ingegneria sociale.

Buon punto con la soddisfazione del cliente. Lo vedo tutto il tempo. PayTV come esempio in cui l'intera idea di quel sistema è rotta, ma utilizzata comunque.
#6
+5
Fiasco Labs
2012-02-20 03:47:08 UTC
view on stackexchange narkive permalink

Ingegnere sociale = Fiducia Trixter. I truffatori hanno avuto pieno successo nel violare qualsiasi metodo per proteggere (X) là fuori dove X è uguale a dati, armi, brevetti, segreti commerciali, password, ecc.

Conning persone è vecchia quanto il tempo e è flessibile in quanto le menti delle persone sono nell'apprendimento di nuove tecnologie e altri punti deboli nell'interagire con essa.

Questo dovrebbe essere uno scherzo (Gestione di CVE-0), ma il migliore Un modo per mirare al tuo attacco è conoscere la tua azienda e trovare un vicepresidente dell'azienda meno esperto di tecnologia che apra le porte ai gioielli dell'azienda.

ottimo collegamento, come affermato lì, dovremmo davvero prendere in considerazione la possibilità di applicare patch ai nostri utenti, per prevenire problemi di sicurezza: D
#7
+1
Loren Pechtel
2012-02-21 11:36:28 UTC
view on stackexchange narkive permalink

Guarda tutto lo spam di phishing che il tuo account è stato sospeso in giro. Non lo invierebbero se a volte non funzionasse. Questo è un attacco di ingegneria sociale.

E da quando ho scritto la mia risposta originale mi sono imbattuto in un altro caso: un'e-mail falsificata dal capo a un subalterno che lo invitava a pagare una somma di 6 cifre a un un conto bancario in pagamento per un dipinto che hanno acquistato. Chiunque abbia provato questo pesce lancia non conosceva abbastanza bene il suo obiettivo, un acquisto del genere sarebbe stato fuori luogo per lui.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...