Video: What is social engineering? (Nobyembre 2024)
Sa nagdaang limang taon, si Chris Hadnagy, Chief Human Hacker sa Social-Engineer, Inc, ay nagpatakbo ng isang hindi pangkaraniwang kumpetisyon sa Def Con. Tinatawag na Social Engineering Capture The Band, hinamon nito ang mga contestant na mangalap ng impormasyon sa iba't ibang kumpanya (mga watawat, kung gagawin mo). Ito ay panlipunang inhinyero: ang sining ng pagkolekta ng impormasyon mula sa mga target nang hindi kinakailangang masira sa isang gusali o mag-hack ng isang network.
Sa unang yugto, 20 mga paligsahan ang nagtatrabaho upang makakuha ng impormasyon sa mga target na kumpanya mula sa mga mapagkukunan na magagamit ng publiko. Ang huling yugto ay isang 25 minuto na marathon ng mga tawag sa telepono kung saan ang mga paligsahan ay nag-pump ng mga biktima para sa impormasyon. Saklaw ito mula sa mundong ("Mayroon kang isang cafeteria?") Hanggang sa kritikal ("Gumagamit ka ba ng disk encryption?") Sa potensyal na nakapipinsala: pag-trick sa mga biktima sa pagbisita sa mga pekeng URL. Ang kumpetisyon sa taong ito ay kasama ang sampung kumpanya, kabilang ang Apple, Boeing, at General Dynamics bukod sa iba pa.
Labanan ng Mga Kasarian
"Mula sa simula ay lagi kaming tumawag ng mga kababaihan na sumali, " sabi ni Hadnagy. Ang pag-ampon ng isang format na "kalalakihan kumpara sa kababaihan" at aktibong nagsusulong ng papel ng mga kababaihan sa kumpetisyon ay nakatulong na magdala ng mas mahusay na pagkakapareho sa huling dalawang taon. Sinabi ni Hadnagy na ang pagbibigay sa kababaihan ng higit na kakayahang makita sa proyekto ay kritikal, at hinikayat ang iba na sumali. "Marami kaming mga kababaihan kaysa sa maaari naming gawin ngayong taon, " aniya.
Paano ginawa ng kababaihan laban sa kanilang mga kalalakihan na lalaki? "Ngayong taon, ang mga kababaihan ay hindi lamang nanalo, " sabi ni Hadnagy. "Pinahihintulutan nila ang mga kalalakihan." Tatlo sa mga nangungunang limang mga puwang ang napunta sa mga kababaihan, at ang nangungunang scoring social engineer ay may higit sa 200 puntos higit sa susunod na pinakamataas na kalahok sa pagmamarka.
Madali na gumuhit ng maraming mga konklusyon mula sa data na ito, ngunit hangga't ang tagumpay ng kababaihan sa panlipunang engineering ay nababahala, sinabi ni Hadnagy na hindi lang sapat ang impormasyon. "Hindi sa palagay ko ito ay nagpapatunay na ang mga tao ay nagtitiwala sa mga kababaihan na likas, " aniya. "Ang mga babaeng nanalo ay nagpapakita ng isang bagay, ngunit wala kaming data na nagpapakita na sila ay mga babaeng nakikipag-usap sa mga kalalakihan."
Sinabi nito, ang mga kababaihan ay may malawak na saklaw ng mga marka kumpara sa mga kalalakihan, na nabanggit sa huling ulat ng paligsahan. Sinabi nito: "ang pagkakaiba-iba sa maaaring mai-hypothesize mula sa katotohanan na sila ay isang napaka magkakaibang grupo, na nagmumula sa iba't ibang mga background at iba't ibang mga antas ng karanasan." Ang mga kalalakihan sa kabilang banda ay may kaugaliang mag-hang sa paligid ng parehong hanay ng mga marka na may mas kaunting mga outlier. "Bagaman siniguro namin ang pagkakaiba-iba bilang isang grupo, ang mga kalalakihan ay may posibilidad na maging mas homogenous sa background at antas ng karanasan at marahil ito ay naipakita sa mas maliit na hanay ng mga marka."
Wala akong impormasyon upang mai-back up ito, ngunit sa palagay ko ang data na ito ay nagpapakita ng kahalagahan ng pagsasama ng mga indibidwal mula sa magkakaibang mga background sa anumang koponan. Ngunit iyon lang ako.
Nasa Wala Na Ang Impormasyon
Ang pangwakas na ulat ng kumpetisyon ay maaaring hindi mapag-isip tungkol sa papel ng kasarian, ngunit malinaw na ang maingat na pananaliksik ay kritikal para sa mga nagwagi. Ang mga kontestant ay natagpuan ang isang nakakagulat na dami ng impormasyon na malayang magagamit sa online, at ang mga may mas mataas na marka sa mga phase ng pananaliksik ay may ginawang mas mahusay sa panahon ng aktwal na pagtawag.
Sa isang kaso, natagpuan ng isang paligsahan ang isang pampublikong nakaharap sa web portal para sa mga empleyado. Kahit na ito ay na-secure sa isang pag-login sa password, natuklasan ng paligsahan na ang isang pampublikong magagamit na tulong na tulong na ibinigay ng target na kumpanya ay naglalaman ng isang gumaganang username at password bilang isang halimbawa. "Ito ay 2013 at nakakakita pa tayo ng mga bagay na tulad nito, " sabi ni Hadnagy.
Ngunit hindi ito tumagal ng mga pangunahing paglabag sa seguridad upang mahanap ang karamihan sa impormasyon na hinahanap ng mga paligsahan. Karamihan sa mga ito ay magagamit sa pamamagitan ng social media, kung minsan nai-post ng mga indibidwal na nag-link sa kanilang email sa isang kumpanya sa publiko. Isang mapagkukunan ng impormasyon ang nagulat kay Hadnagy: "Myspace, maniwala ka o hindi."
Mas mahusay at Mas mahusay na Mga Pagkilala
Nabanggit din ni Hadnagy na bukod sa buksan ang pangangalap ng impormasyon ng mapagkukunan, ginamit din ng mga paligsahan ang mas kumplikadong mga pretext kapag tumatawag sa mga kumpanya sa pangwakas na yugto ng kumpetisyon. Ang mga nakaraang taon ay nakakita ng maraming mga paligsahan na nag-posing bilang mga survey taker o mga mag-aaral na nagsusulat ng mga ulat. Aktibong hininaan ng loob ni Hadnagy ang diskarte na ito sa taong ito, na nagpapaalala sa mga paligsahan na baka mag-hang up sila sa mga tawag sa kanilang sarili. "Bakit may sumasagot sa mga katanungang ito ng sinuman?" Tanong niya.
Ang mga pretext na ito ay kaakit-akit dahil ang mga ito ay higit pa o mas mababa sa hindi nagpapakilalang at may mababang panganib para sa tumatawag. Sa taong ito, gayunpaman, nakakita ng maraming mga paligsahan na nagmumula bilang mga kapwa empleyado o nagtitinda na nakikipagtulungan sa mga target na kumpanya. Habang nagdadala ito ng higit na likas na panganib, sinabi ni Hadnagy na mayroong higit na likas na tiwala. "Awtomatikong, ang mga paligsahan ay pinagkakatiwalaan at binigyan ng impormasyon kaagad sa paniki, " aniya.
Ang mga salaysay ng mga kontestante ay nagpakita ng ilang mga kagiliw-giliw na pagkakaiba-iba sa mga linya ng kasarian. Sa sampung kababaihan, siyam na inilalarawan ang kanilang sarili bilang hindi pagiging technically savvy at naghahanap ng tulong mula sa mga "kapwa" empleyado. Ang lahat ng mga kalalakihan sa kumpetisyon na nakuha bilang mga eksperto sa tech, at sa ilang mga kaso CEOs.
Alamin ang Banta
Bagaman kagiliw-giliw na pag-isipan ang mga hows at whys ng kumpetisyon, ang hindi mapag-aalinlangang katotohanan ay ang sampung kumpanya ay nagbigay ng malaking impormasyon - alinman sa telepono o nai-post sa publiko sa online. Habang ang impormasyon na ang mga paligsahan ay pagkatapos ay hindi palaging likas na mapanganib, binabasa nila tulad ng isang matatag na unang hakbang sa isang pag-atake na may multi-tiered. Isang araw nagtatanong ka tungkol sa cafeteria, at sa susunod na araw ay humihingi ka ng mga logins.
Ang Hadnagy pin ang problema sa isang kakulangan ng kamalayan sa mga empleyado, karaniwang nagmumula sa mahinang edukasyon ng mas mataas na pag-aaral. Ang mga empleyado sa pagsasanay na mag-isip nang kritikal tungkol sa kung ano ang nai-post nila sa online at kung ano ang sinasabi nila sa telepono, sinabi ni Hadnagy, maaaring magbayad nang mas kaunting matagumpay na pag-atake.
Ang isa sa kanyang mga nakakaintriga na mungkahi ay ang mga kumpanya ay hindi parusahan ang mga indibidwal na nahuhulog para sa mga scam, at hinihikayat ang resulta ng pag-uulat ng libreng mga posibleng paglabag. Sinabi ni Hadnagy sa SecurityWatch na ang mga kumpanya na sumusunod sa mga gawi na ito ay karaniwang mas mahusay sa paghawak ng mga banta na ito.
Hindi alintana kung ikaw ay bahagi ng isang kumpanya o isang indibidwal lamang sa bahay, ang pag-alam tungkol sa mga panganib ng panlipunang engineering ay kritikal. Kaya sa susunod na isang tao ay tumawag o nag-email ka na humihingi ng tulong, magtanong ng ilang mga katanungan bago mo ibigay ang mga hiyas ng korona.
Larawan sa pamamagitan ng Flickr user CGP Grey
