Video: SANS Security Awareness: Social Engineering (Nobyembre 2024)
Social engineering ay kung ano ang kapangyarihan ng phishing emails, at mga nakakahamak na website na nagbihis upang magmukhang ligtas, tanyag na mga website. Sa isang talakayan kasama si Chris Hadnagy, Chief Human Hacker sa Social-Engineer Inc., tinanong ko siya kung paano makita ang mga scam na ito. Ang kanyang payo ay sumasalamin sa kung ano ang madalas naming sinabi sa mga mambabasa: palaging maging kahina-hinala.
Higit Pa Sa Isang Con
Mula sa aking talakayan kay Hadnagy, malinaw na ang ilan sa tinatawag nating social engineering ay ang parehong mga trick na ang mga tao ay gumagamit ng mga impluwensya sa impluwensya sa loob ng maraming taon. Ang industriya ng mabilis na pagkain, halimbawa, sikat na ginalugad kung anong mga kulay ang hihikayat sa mga tao na kumain nang mas mabilis. Ang mga phony spiritualista mula ika-19 na siglo (na kasama ang mga miyembro ng aking pamilya) at ngayon ay gumagamit ng isang taktika na tinatawag na "cold reading" upang linlangin ang mga biktima sa paghahayag ng impormasyon tungkol sa kanilang sarili.
Ngunit mayroong higit pa sa panlipunang engineering kaysa sa murang mga trick, tulad ng ipinakita ng Social Engineering Capture the Flag Competition na ginanap sa Def Con. Dito, kumita ang mga kalahok ng mga puntos para sa impormasyon na nakukuha nila mula sa mga kumpanya ng pagsasaliksik at mula sa direktang pakikipag-ugnay sa mga kumpanyang iyon. Sinabi ni Hadnagy na ang pinakamahusay na mga kontestista sa pagmamarka ay gumawa din ng karamihan sa pananaliksik, na nagpapakita kung gaano kapaki-pakinabang ito upang malaman ang iyong mga target.
Sa kasamaang palad, ngayon ay isang mahusay na oras upang maging isang social engineer na gumagawa ng pananaliksik, o pag-iipon ng impormasyon sa mapagkukunan. Ipinaliwanag ni Hadnagy na ang mga kumpanya at indibidwal ay nag-post ng maraming impormasyon sa social media, na halos lahat ay maaaring magamit sa mga pag-atake sa social engineering. Noong nakaraan, tiningnan namin kung paano sinubukan ng mga scammers na gumamit ng impormasyon na gleaned mula sa Facebook upang gawing mas kaakit-akit ang kanilang mga scam - kung minsan ay may masayang-maingay na mga resulta.
Pag-target sa Emosyon
Ang isa sa mga pinakamahusay na taktika sa panlipunang pang-engineering ay upang panatilihin ka mula sa pag-iisip nang kritikal, karaniwang sa pamamagitan ng pag-target ng emosyon. Sinabi ni Hadnagy na ang isang pag-atake na halos niloloko niya ay inaangkin na isang email sa pagpapadala ng Amazon. "Ito ay isang bagay na personal, isang bagay na nakakaapekto sa aking buhay, at isang bagay na mahalaga sa akin, " aniya.
Sa partikular na pag-atake na ito, nakatanggap si Hadnagy ng isang email na nagsasabi na ang isa sa kanyang mahalagang mga order sa Amazon ay naantala dahil sa isang tinanggihan na numero ng credit card. Sa mga araw na umaabot hanggang sa isang pangunahing kumperensya, sinabi ni Hadnagy na siya ay labis na nagtrabaho at nag-click sa link sa email - sa halip na dumalaw sa Amazon. Ang pahina na dinala niya ay mahusay na ginawa, ngunit nagpapasalamat na napansin niya ang domain na ".ru" bago ipasok ang anumang personal na impormasyon.
Habang ito ay simple, ang taktika na ito ay napaka-epektibo. "Ako ang taong iyon, dahil sa ginagawa ko, na-phish higit sa 190, 000 mga tao sa huling ilang buwan, " sabi ni Hadnagy, na tinutukoy ang kanyang pagkonsulta. "Halos nahulog ako para sa pag-atake na ito."
Ang isa pang bentahe ng pag-akit sa damdamin ay hindi nangangailangan ng uri ng pananaliksik ang pinakamahusay na mga inhinyero sa lipunan. "Ang makikita natin ay ang pumili ng mga bagay na mahalaga sa masa." Ipinaliwanag ni Hadnagy na kabilang dito ang pagpapadala ng UPS, mga order ng Amazon, at paglilipat ng PayPal.
Ang apela sa masa ay mahusay din na gumagana para sa pagsasahimpapawid ng en-masse, isa pang madalas na taktika. "Ipinapadala nila ito sa milyun-milyong mga tao sa isang pagkakataon, kaya hindi sila nagmamalasakit kung nakakakuha sila ng 100 porsyento, " sabi ni Hadnagy. "10 porsyento pa rin ang libu-libong mga nakompromiso na account."
Manatiling Ligtas
Marami sa mga taktika na ginamit upang makita ang mga email sa phishing ay totoo rin para sa panlipunang engineering. Ang anumang bagay na mukhang masyadong totoo - o masyadong masamang maging totoo - marahil ay hindi totoo. Ang mga taktika tulad ng pag-hover sa mga link upang makita ang buong URL, mano-mano ang pagpasok sa mga web address, at pag-iwas sa mga link na lumabas sa asul ay lahat ng mga taktika ng tunog.
Ngunit ang live na bahagi ng pagtawag ng kumpetisyon ng Capture the Flag ay nagtatampok ng isa pang aspeto ng panlipunang engineering: tiwala sa institusyon. Ngayong taon, marami sa mga paligsahan ay nagmula bilang mga katrabaho o nagtitinda, na nagbigay sa mga empleyado sa mga target na kumpanya ng agarang dahilan upang magtiwala sa kanila. Minsan, nagbabayad ito upang magtanong kung ang isang tao na nag-aangkin na CEO ng iyong kumpanya ay tumawag sa iyo nang personal.
Si Hadnagy ay gumawa ng isang karera na nagpapaliwanag sa social engineering, ngunit hindi siya nababahala kung kukuha ng mga umaatake ang kanyang mga trick. "Ang mga masasamang tao ay hindi naghahanap ng data sa kung paano ito gagawin, " sinabi niya sa SecurityWatch. "Alam na nila kung paano. Ang problema ay ang mga mabubuting lalaki ay hindi." Sa pamamagitan ng kanyang trabaho, naniniwala si Hadnagy na maaari niyang ituro ang corporate America at regular na mga tao kung paano mag-isip nang kritikal tungkol sa kanilang pang-araw-araw na pakikipag-ugnay, at kung paano tumugon sa mga pinakamasamang sitwasyon sa kaso. Ipinaliwanag ito ni Hadnagy: "Sa halip na i-arm ang mga masasamang tao, hinahawakan nito ang mabubuting lalaki."
Larawan sa pamamagitan ng Flickr user na si Travis V.
