Sociální inženýrství

Tato metoda útoku je adaptací trojského koně a spočívá v použití fyzických médií . Útočník umisťuje „infikovaná“ paměťová média na veřejná místa, kde lze tato média snadno najít, jako jsou toalety, parkoviště, jídelny nebo na pracovišti napadeného zaměstnance [5] . Média jsou zabalena jako oficiální pro napadenou společnost nebo doplněna podpisem, který má vzbudit zvědavost. Útočník může například hodit CD s firemním logem a odkazem na oficiální web společnosti a opatřit jej nápisem „Plat manažerského týmu“. Disk může být ponechán na podlaze výtahu nebo ve vstupní hale. Zaměstnanec může nevědomky zvednout disk a vložit jej do počítače, aby uspokojil svou zvědavost.

Sběr informací z otevřených zdrojů

Použití technik sociálního inženýrství vyžaduje nejen znalosti z psychologie , ale také schopnost sbírat potřebné informace o člověku. Poměrně novým způsobem získávání těchto informací se stalo jejich shromažďování z otevřených zdrojů, především ze sociálních sítí . Například stránky jako livejournal , Odnoklassniki , VKontakte obsahují obrovské množství dat, které se lidé ani nesnaží skrývat. Uživatelé zpravidla nevěnují náležitou pozornost bezpečnostním otázkám a ponechávají volně dostupná data a informace, které může útočník využít. (v případě Vkontakte adresa, telefonní číslo, datum narození, fotografie, přátelé atd.)

Názorným příkladem je příběh o únosu syna Eugena Kasperského. Během vyšetřování bylo zjištěno, že se kriminalisté dozvěděli harmonogram dne a trasy teenagera z jeho záznamů na stránce na sociální síti [10] .

I omezením přístupu k informacím na své stránce na sociální síti si uživatel nemůže být jistý, že se nikdy nedostane do rukou podvodníků. Například brazilský výzkumník počítačové bezpečnosti ukázal, že pomocí technik sociálního inženýrství je možné se stát přítelem jakéhokoli uživatele Facebooku do 24 hodin. Během experimentu si výzkumník Nelson Novaes Neto [11] vybral oběť a vytvořil falešný účet osoby z jejího prostředí – jejího šéfa. Nejprve Neto rozeslal žádosti o přátelství přátelům přátel šéfa oběti a poté přímo jeho přátelům. Po 7,5 hodinách výzkumník dosáhl od oběti přítele. Výzkumník tak získal přístup k osobním informacím uživatele, které sdílel pouze se svými přáteli.

Ramenní surfování

Ramenní surfování (angl. shoulder surfing ) zahrnuje pozorování osobních údajů oběti přes rameno. Tento typ útoku je běžný na veřejných místech, jako jsou kavárny, nákupní centra, letiště, vlaková nádraží a veřejná doprava.

Průzkum mezi IT odborníky v bílé knize [12] o bezpečnosti ukázal, že:

• 85 % dotázaných přiznalo, že viděli důvěrné informace, které neměli znát;
• 82 % připustilo, že informace zobrazené na jejich obrazovce mohly vidět neoprávněné osoby;
• 82 % má malou důvěru, že někdo v jejich organizaci ochrání jejich obrazovku před cizími lidmi.

Reverzní sociální inženýrství

Reverzní sociální inženýrství je zmíněno, když oběť sama nabídne útočníkovi informace, které potřebuje. Může se to zdát absurdní, ale ve skutečnosti technické nebo sociální úřady často získávají uživatelská ID a hesla a další citlivé osobní údaje jen proto, že nikdo nepochybuje o jejich bezúhonnosti. Zaměstnanci helpdesku například nikdy nepožadují od uživatelů ID nebo heslo; nepotřebují tyto informace k řešení problémů. Mnoho uživatelů však tyto citlivé informace dobrovolně sdílí, aby se problémy co nejdříve vyřešily. Ukazuje se, že útočník se na to ani nemusí ptát .

Příkladem reverzního sociálního inženýrství je následující jednoduchý scénář. Útočník ve spolupráci s obětí změní název souboru na jejím počítači nebo jej přesune do jiného adresáře. Když si oběť všimne, že soubor chybí, útočník tvrdí, že jej může opravit. Ve snaze dokončit práci rychleji nebo se vyhnout trestu za ztrátu informací oběť souhlasí s tímto návrhem. Útočník tvrdí, že jediný způsob, jak problém vyřešit, je přihlásit se pomocí přihlašovacích údajů oběti. Nyní oběť žádá útočníka, aby se přihlásil pod jejím jménem a pokusil se soubor obnovit. Útočník neochotně souhlasí a obnoví soubor, přičemž cestou ukradne ID a heslo oběti. Úspěšným provedením útoku si dokonce vylepšil reputaci a je dost možné, že se na něj poté obrátí o pomoc další kolegové. Tento přístup nenarušuje běžné postupy služeb podpory a ztěžuje dopadení útočníka. [13]

Významní sociální inženýři

Kevin Mitnick

Jedním z nejznámějších sociálních inženýrů v historii je Kevin Mitnick. Jako světově uznávaný počítačový hacker a bezpečnostní konzultant je Mitnick také autorem mnoha knih o počítačové bezpečnosti, zaměřených především na sociální inženýrství a techniky psychologické manipulace. V roce 2001 vyšla pod jeho autorstvím kniha „ The  Art of Deception “ [5] , která vypráví o skutečných příbězích využití sociálního inženýrství [14] . Kevin Mitnick tvrdí, že je mnohem snazší získat heslo podváděním, než se snažit proniknout do bezpečnostního systému [15] .

Bratři Badirové

Ačkoli byli bratři Badirové, Mushid a Shadi Badirovi od narození slepí, podařilo se jim v 90. letech v Izraeli pomocí sociálního inženýrství a falšování hlasu vytáhnout několik velkých podvodných schémat . V televizním rozhovoru řekli: "Pouze ti, kteří nepoužívají telefon, elektřinu a notebook, jsou plně pojištěni proti síťovým útokům." Bratři už byli ve vězení za to, že slyšeli servisní signály na telefonní lince. Uskutečňovali dlouhé hovory do zahraničí na cizí náklady a simulovali mezistaniční signalizaci v rámci kanálu .

Archanděl

Známý počítačový hacker a bezpečnostní konzultant Phrack Magazine , známého anglického online magazínu , Archangel demonstroval sílu technik sociálního inženýrství tím, že během krátké doby získal hesla z velkého množství různých systémů a oklamal několik stovek obětí. .

Ostatní

Méně známí sociální inženýři jsou Frank Abagnale , David Bannon , Peter Foster a Stephen Jay Russell .

Způsoby ochrany před sociálním inženýrstvím

Útočníci sociálního inženýrství často využívají k provádění svých útoků důvěřivost, lenost, zdvořilost a dokonce nadšení uživatelů a zaměstnanců organizací. Obrana proti takovým útokům není jednoduchá, protože jejich oběti nemusí mít podezření, že byly podvedeny. Útočníci v oblasti sociálního inženýrství mají v zásadě stejné cíle jako ostatní útočníci: potřebují peníze, informace nebo IT zdroje společnosti oběti. Chcete-li se před takovými útoky chránit, musíte si prostudovat jejich typy, pochopit, co útočník potřebuje, a posoudit škody, které mohou organizaci způsobit. Se všemi těmito informacemi lze do bezpečnostní politiky integrovat nezbytná ochranná opatření.

Jak rozpoznat útok sociálního inženýra

Níže jsou uvedeny metody působení sociálních inženýrů:

• představte se jako přítel-zaměstnanec nebo nový zaměstnanec s žádostí o pomoc;
• prezentovat se jako zaměstnanec dodavatele, partnerské společnosti, zástupce zákona;
• reprezentovat se jako někdo z vedení;
• vydávání se za prodejce operačního systému nebo výrobce volajícího, aby oběti nabídl aktualizaci nebo opravu k instalaci;
• nabídnutí pomoci, když se objeví problém, a následné vyvolání problému, který vede oběť k tomu, aby požádala o pomoc;
• používání interního slangu a terminologie k budování důvěry;
• odeslání viru nebo trojského koně jako přílohy e-mailu;
• pomocí falešného vyskakovacího okna s žádostí o opětovné ověření nebo zadání hesla;
• nabídnout cenu za registraci na webu pomocí uživatelského jména a hesla;
• zaznamenávání klíčů, které oběť zadá na svém počítači nebo ve svém programu ( keylogging );
• házení různých nosičů dat (flash karty, disky atd.) s malwarem na stůl oběti;
• předání dokumentu nebo složky poštovnímu oddělení společnosti k internímu doručení;
• úprava písma na faxu, aby vypadal, že pochází od společnosti;
• žádost tajemníka o přijetí a následné odeslání faxu;
• žádost o zaslání dokumentu na místo, které se zdá být místní (to znamená, že se nachází na území organizace);
• úprava hlasové schránky tak, aby si zaměstnanci, kteří se rozhodnou zavolat zpět, mysleli, že útočník je jejich zaměstnanec;

Klasifikace hrozeb

Výhrůžky telefonem

Telefon je stále jedním z nejoblíbenějších komunikačních prostředků v rámci organizací i mezi nimi, takže je stále účinným nástrojem sociálního inženýrství. Při telefonickém hovoru není možné vidět tvář partnera, aby bylo možné potvrdit jeho identitu, což útočníkům dává možnost vydávat se za zaměstnance, šéfa nebo jakoukoli jinou osobu, které lze důvěřovat s důvěrnými nebo zdánlivě nedůležitými informacemi. Útočník často zařídí konverzaci tak, že oběti nezbývá nic jiného než pomoci, zvláště když žádost vypadá jako maličkost.

Oblíbené jsou také různé podvody, jejichž cílem je okrádat peníze uživatelů mobilních telefonů. Mohou to být jak hovory, tak SMS zprávy o výhrách v loteriích, soutěžích, žádosti o omylem splatné vrácení peněz nebo zprávy, že blízcí příbuzní oběti mají potíže a naléhavou potřebu převést určitou částku peněz.

Bezpečnostní opatření naznačují skeptický postoj k jakýmkoli takovým zprávám a některým bezpečnostním zásadám:

• Kontrola identity volajícího;
• Využití služby identifikace čísla;
• Ignorování neznámých odkazů v SMS zprávách;

E-mailové hrozby

Mnoho zaměstnanců denně dostává desítky a dokonce stovky e-mailů prostřednictvím firemních a soukromých poštovních systémů. Samozřejmě, že s takovým tokem korespondence není možné věnovat náležitou pozornost každému dopisu. Díky tomu je mnohem snazší provádět útoky. Většina uživatelů e-mailových systémů je ke zpracování takových zpráv klidná a vnímá tuto práci jako elektronickou obdobu přesouvání papírů z jedné složky do druhé. Když útočník pošle e-mailem jednoduchou žádost, oběť často udělá to, co je po ní požadováno, aniž by přemýšlela o svém jednání. E-maily mohou obsahovat hypertextové odkazy, které povzbuzují zaměstnance k narušení bezpečnosti podnikového prostředí. Takové odkazy ne vždy vedou na nárokované stránky.

Většina bezpečnostních opatření je zaměřena na zabránění neoprávněným uživatelům v přístupu k podnikovým zdrojům. Pokud si uživatel kliknutím na hypertextový odkaz zaslaný útočníkem stáhne do podnikové sítě trojského koně nebo virus, snadno to obejde mnoho typů ochrany. Hypertextový odkaz může také odkazovat na stránky s vyskakovacími aplikacemi, které požadují informace nebo nabízejí pomoc. Stejně jako u jiných typů podvodů je nejúčinnějším způsobem ochrany před škodlivými útoky skeptický vůči jakýmkoli neočekávaným příchozím e-mailům. Chcete-li tento přístup rozšířit napříč organizací, měly by být v zásadách zabezpečení zahrnuty specifické pokyny pro používání e-mailu, které zahrnují prvky uvedené níže. [16]

• Přílohy k dokumentům.
• Hypertextové odkazy v dokumentech.
• Žádosti o osobní nebo firemní informace ze společnosti.
• Žádosti o osobní nebo firemní informace mimo společnost.

Hrozby spojené s používáním služby rychlých zpráv

Instant messaging je relativně nový způsob přenosu dat, ale mezi firemními uživateli si již získal širokou oblibu. Vzhledem k rychlosti a jednoduchosti použití otevírá tento způsob komunikace široké možnosti pro různé útoky: uživatelé s ním zacházejí jako s telefonním spojením a nespojují ho s potenciálními softwarovými hrozbami. Dva hlavní typy útoků založených na použití služby rychlých zpráv jsou odkaz na malware v těle zprávy a doručení samotného programu. Zasílání rychlých zpráv je samozřejmě také jedním ze způsobů, jak si vyžádat informace. Jednou z vlastností služeb rychlého zasílání zpráv je neformální povaha komunikace. V kombinaci s možností přiřadit si k sobě libovolná jména tento faktor značně usnadňuje útočníkovi vydávat se za jinou osobu a výrazně zvyšuje jeho šance na úspěšné provedení útoku. Pokud společnost hodlá využít úspor nákladů a dalších výhod, které instant messaging poskytuje, musí podnikové bezpečnostní politiky tyto hrozby řešit. Existuje několik požadavků, které musí být splněny, abyste měli spolehlivou kontrolu nad rychlými zprávami v podnikovém prostředí. [17]

• Vyberte si jednu platformu pro rychlé zasílání zpráv.
• Určete nastavení zabezpečení, která jsou nastavena při nasazení služby rychlých zpráv.
• Definujte zásady pro navazování nových kontaktů
• Stanovte standardy pro výběr hesel
• Poskytněte doporučení pro používání služby chatu.

Základní obranné metody

Specialisté na sociální inženýrství identifikují následující hlavní ochranné metody pro organizace:

• rozvoj promyšlené politiky klasifikace dat, která bere v úvahu ty zdánlivě neškodné typy dat, které mohou vést k důležitým informacím;
• zajištění ochrany informací o zákaznících pomocí šifrování dat nebo pomocí řízení přístupu;
• školení zaměstnanců v dovednostech rozpoznat sociálního inženýra, projevovat podezření při jednání s lidmi, které osobně neznají;
• zákaz personálu vyměňovat si hesla nebo používat sdílená hesla;
• zákaz poskytovat informace z oddělení s tajemstvím někomu, kdo není tak osobně znám nebo není žádným způsobem potvrzen;
• používání zvláštních potvrzovacích postupů pro všechny, kteří požadují přístup k důvěrným informacím;

Vrstvený bezpečnostní model

K ochraně velkých společností a jejich zaměstnanců před podvodníky využívajícími techniky sociálního inženýrství se často používají komplexní víceúrovňové bezpečnostní systémy. Některé funkce a odpovědnosti takových systémů jsou uvedeny níže.

• Fyzická bezpečnost. Bariéry, které omezují přístup do firemních budov a firemních zdrojů. Nezapomeňte, že firemní zdroje, jako jsou kontejnery na odpadky umístěné mimo areál firmy, nejsou fyzicky chráněny.
• Data. Obchodní informace: účty, pošta atd. Při analýze hrozeb a plánování opatření na ochranu dat je nutné stanovit zásady pro nakládání s papírovými a elektronickými nosiči dat.
• Aplikace. Programy spouštěné uživateli. Chcete-li chránit své prostředí, musíte zvážit, jak mohou útočníci zneužít e-mailové programy, služby rychlého zasílání zpráv a další aplikace.
• Počítače. Servery a klientské systémy používané v organizaci. Ochrana uživatelů před přímými útoky na jejich počítače definováním přísných pokynů pro to, jaké programy lze na podnikových počítačích používat.
• Vnitřní síť. Síť, jejímž prostřednictvím podnikové systémy interagují. Může být lokální, globální nebo bezdrátový. V posledních letech se v důsledku rostoucí popularity metod práce na dálku staly hranice vnitřních sítí do značné míry libovolné. Zaměstnanci společnosti musí být vysvětleno, co musí dělat, aby organizovali bezpečnou práci v jakémkoli síťovém prostředí.
• perimetr sítě. Hranice mezi interními sítěmi společnosti a externími sítěmi, jako je internet nebo sítě partnerských organizací.

Odpovědnost

Předpisování a nahrávání telefonních hovorů

V právním řádu USA je pretexting, tedy vydávání se za jinou osobu za účelem získání informací, které mohou být této osobě poskytnuty, postaveno na roveň narušení soukromí [18] . V prosinci 2006 schválil Kongres USA návrh zákona, který by trestal zamlouvání a nahrávání telefonních hovorů pokutou až 250 000 USD nebo odnětím svobody až na 10 let pro fyzické osoby (nebo pokutou 500 000 USD pro právnické osoby). Odpovídající výnos podepsal prezident George W. Bush 12. ledna 2007 [19] .

Hewlett-Packard

Patricia Dunn, prezidentka Hewlett Packard Corporation, uvedla, že HP najalo soukromou společnost, aby identifikovala ty zaměstnance společnosti, kteří byli zodpovědní za únik důvěrných informací. Později šéf korporace připustil, že ve výzkumném procesu byla použita praxe pretextingu a dalších technik sociálního inženýrství [20] .

Poznámky

1. ↑ Ross J. Anderson. Bezpečnostní inženýrství: Průvodce budováním spolehlivých distribuovaných systémů . — John Wiley & Sons, 2008-04-14. — 1080 s. - ISBN 978-0-470-06852-6 .
2. ↑ Definováno sociální inženýrství  . Bezpečnost prostřednictvím vzdělávání . Získáno 21. srpna 2020. Archivováno z originálu dne 3. října 2018.
3. ↑ Veselov A.V. Předmět sociálního inženýrství: koncept, typy, formace  // Filosofie a kultura: časopis. - 2011. - 8. srpna ( č. 8 ). - S. 17 . (Ruština)
4. ↑ Phishing . Archivováno z originálu 10. listopadu 2012. Staženo 6. listopadu 2012.
5. ↑ 1 2 3 4 Kevin D. Mitnick; William L. Simon. Umění klamat. - IT, 2004. - ISBN 5-98453-011-2 .
6. ↑ 1 2 3 Jak chránit vaši interní síť před útoky , Microsoft TechNet. Archivováno z originálu 27. září 2018. Staženo 1. října 2017.
7. ↑ Ross, Dave . Jak funguje interaktivní hlasová odezva (IVR) . Archivováno z originálu 14. srpna 2020. Staženo 22. srpna 2020.
8. ↑ Qui pro quo
9. ↑ Leyden, John Office pracovníci rozdávají hesla . Theregister.co.uk (18. dubna 2003). Získáno 1. října 2017. Archivováno z originálu 20. listopadu 2012. (neurčitý)
10. ↑ Goodchild, L!FENEWS . Kasperského syn byl unesen v Moskvě  (21. dubna 2011). Archivováno z originálu 4. listopadu 2012. Staženo 6. listopadu 2012.
11. ↑ Nelson Novaes Neto . Archivováno z originálu 20. února 2010. Staženo 6. listopadu 2012.
12. ↑ Evropská vizuální bezpečnost dat. "Bílá kniha o zabezpečení vizuálních dat" (nedostupný odkaz) (2014). Získáno 19. prosince 2014. Archivováno z originálu 13. května 2014. (neurčitý) 
13. ↑ Jak chránit svou interní síť a zaměstnance společnosti před útoky , Microsoft TechNet. Archivováno z originálu 27. září 2018. Staženo 1. října 2017.
14. ↑ Sociální inženýrství  (ruština) . Archivováno z originálu 21. dubna 2014. Staženo 6. listopadu 2012.
15. ↑ Mitnick, K. Úvod // CSEPS Course Workbook. - Mitnick Security Publishing, 2004. - S. 4.
16. ↑ Pomocí e-mailu , CITForum. Archivováno z originálu 2. listopadu 2012. Staženo 6. listopadu 2012.
17. ↑ Pokyny pro bezpečnější internetové operace , KasperskyLab. Archivováno z originálu 29. března 2013. Staženo 6. listopadu 2012.
18. ↑ Nové prohlášení 2d deliktů § 652C
19. ↑ Eric Bangeman. Kongres zakazuje pretexting  . Ars Technica (12. listopadu 2006). Získáno 1. října 2017. Archivováno z originálu 17. ledna 2017.
20. ↑ Stephen Shankland. Předseda HP: Použití záminky 'trapný  ' . CNET News.com (8. září 2006).

Odkazy

• Sociální inženýrství: Základy. Část I: Hackerská taktika
• Ochrana proti phishingu
• "Ochrana telefonních záznamů spotřebitelů" , elektronické informační centrum pro ochranu soukromí Výbor USA pro obchod, vědu a  dopravu
• Plotkin, Hal . Poznámka pro tisk: Předpisování je již  nezákonné
• social-engineer.org  – social-engineer.org  _
• Přehled hrozeb sociálního inženýrství – předložený rodičům a učitelům 
• Tailor Jerry - ruský jazykový zdroj na sociálním inženýrství

Slovníky a encyklopedie	velká čínština