Video: Systematiskt brandskyddsarbete i brf:en (September 2024)
Socialteknik är vad som driver nätfiskemails och skadliga webbplatser som är klädda ut för att se ut som säkra, populära webbplatser. Under en diskussion med Chris Hadnagy, Chief Human Hacker på Social-Engineer Inc., frågade jag honom hur man skulle upptäcka dessa bedrägerier. Hans råd återger vad vi ofta har sagt till läsarna: Var alltid misstänksam.
Mer än en Con
Från min diskussion med Hadnagy är det uppenbart att en del av det vi kallar social engineering är samma knep som människor har använt inflytningsbeslut i flera år. Snabbmatindustrin undersökte till exempel berömt vilka färger som skulle uppmuntra människor att äta snabbare. Falske spiritualister från 1800-talet (som inkluderar familjemedlemmar) och använder idag en taktik som kallas "kallläsning" för att lura offren att avslöja information om sig själva.
Men det finns mer till socialteknik än billiga knep, vilket visas av Social Engineering Capture the Flag Competition som hålls på Def Con. Här tjänar tävlande poäng för information de samlar in från forskningsföretag och från att kontakta dessa företag direkt. Hadnagy sa att de tävlande som fick den bästa poängen också gjorde mest forskning, vilket visar hur användbart det är att känna dina mål.
Tyvärr är det nu en bra tid att vara en social ingenjör som forskar eller samla in öppen källkod. Hadnagy förklarade att företag och individer publicerar mycket information på sociala medier, varav en stor del kan användas i attacker inom socialteknik. Tidigare tittade vi på hur svindlare försökte använda information som samlats in från Facebook för att få sina bedrägerier att verka mer tilltalande - ibland med roliga resultat.
Riktande känslor
En av de bästa socialtekniska metoderna är att hindra dig från att tänka kritiskt, vanligtvis genom att rikta in dig på känslor. Hadnagy sa att en attack som nästan lurade honom påstod att vara en Amazon-e-postmeddelande. "Det var något personligt, något som påverkade mitt liv och något som var viktigt för mig, " sade han.
I den här attacken fick Hadnagy ett e-postmeddelande om att en av hans viktiga Amazon-beställningar var försenad på grund av ett avvisat kreditkortsnummer. Under dagarna fram till en stor konferens sa Hadnagy att han var överarbetad och klickade på länken i e-postmeddelandet - istället för att besöka Amazon direkt. Sidan han togs till var välgjord, men tack och lov noterade han domänen ".ru" innan han skrev in någon personlig information.
Även om det var enkelt, var denna taktik mycket effektiv. "Jag är killen som, på grund av vad jag gör, fiskade över 190 000 människor under de senaste månaderna, " sade Hadnagy med hänvisning till sitt konsultarbete. "Jag föll nästan för den här attacken."
En annan fördel med att tilltala känslor är att det inte kräver den typ av forskning som de bästa sociala ingenjörerna använder. "Det vi får se är att välja saker som är viktiga för massorna." Hadnagy förklarade att detta inkluderar UPS-frakt, Amazon-order och PayPal-överföringar.
Massappel fungerar också bra för att sända en massa, en annan frekvent taktik. "De skickar dessa till miljoner människor åt gången, så att de inte bryr sig om de får 100 procent, " sade Hadnagy. "10 procent är fortfarande tusentals komprometterade konton."
Förbli säkert
Många av de taktiker som används för att upptäcka phishing-e-post gäller också för social teknik. Allt som låter för bra för att vara sant - eller för illa att vara sant - är förmodligen inte sant. Taktik som att sväva över länkar för att se den fullständiga webbadressen, manuellt ange webbadresser och undvika länkar som kommer ut ur det blå är allt ljud taktik.
Men den levande kallande delen av Capture the Flag-tävlingen belyser en annan aspekt av socialteknik: institutionellt förtroende. I år poserade många av deltagarna som medarbetare eller leverantörer, vilket gav de anställda på målföretagen en omedelbar anledning att lita på dem. Ibland lönar det sig att ställa frågor när någon som påstår sig vara VD för ditt företag ringer dig personligen.
Hadnagy har gjort en karriär som förklarar social teknik, men han är inte orolig om angriparna plockar upp sina knep. "De dåliga killarna letar inte efter uppgifterna om hur man gör detta", sa han till SecurityWatch. "De vet redan hur. Problemet är att de goda killarna inte gör det." Genom sitt arbete tror Hadnagy att han kan lära företagsamerika och vanliga människor hur man tänker kritiskt på deras dagliga interaktioner och hur man svarar i värsta fall. Hadnagy förklarade det på detta sätt: "Istället för att beväpna de onda, beväpnar det de goda killarna."
Bild via Flickr-användare Travis V.
