Видео: rytp баÑбоÑÐºÐ¸Ð½Ñ Ð±ÐµÐ· маÑа VIDEOMEGA RU (Октября 2024)
Социальная инженерия - это то, что стимулирует фишинговые электронные письма и вредоносные веб-сайты, которые выглядят как безопасные и популярные веб-сайты. Во время беседы с Крисом Хаднаги, главным человеком-хакером в Social-Engineer Inc., я спросил его, как распознать мошенничество. Его совет перекликается с тем, что мы часто говорили читателям: всегда будьте подозрительны.
Больше чем кон
Из моего разговора с Хэднаги стало ясно, что некоторые из того, что мы называем социальной инженерией, - это те же уловки, которые люди использовали для принятия решений в течение многих лет. Например, индустрия быстрого питания отлично изучила, какие цвета побуждают людей есть быстрее. Фальшивые спиритуалисты 19-го века (включая членов моей семьи) и сегодня используют тактику, называемую «холодным чтением», чтобы обманом помочь жертвам раскрыть информацию о себе.
Но в социальной инженерии есть нечто большее, чем дешевые уловки, о чем свидетельствует Конкурс социальной инженерии «Захват флага», проходящий в Def Con. Здесь участники зарабатывают баллы за информацию, которую они получают от исследовательских компаний и напрямую связываются с этими компаниями. Хэднаги сказал, что лучшие участники также провели большую часть исследований, которые демонстрируют, насколько полезно знать ваши цели.
К сожалению, сейчас самое подходящее время, чтобы стать социальным инженером, проводящим исследования или собирающим информацию из открытых источников. Хаднаги объяснил, что компании и частные лица публикуют много информации в социальных сетях, большая часть которой может быть использована в атаках социальной инженерии. Ранее мы смотрели на то, как мошенники пытались использовать информацию, полученную из Facebook, чтобы их мошенничество выглядело более привлекательным - иногда с веселыми результатами.
Целевая эмоция
Одна из лучших тактик социальной инженерии - удерживать вас от критического мышления, обычно путем нацеливания на эмоции. Хэднаги сказал, что одна атака, которая почти одурачила его, утверждала, что это электронное письмо от Amazon. «Это было что-то личное, что-то, что повлияло на мою жизнь, и что-то важное для меня», - сказал он.
В этой конкретной атаке Хаднаги получил электронное письмо, в котором говорилось, что один из его важных заказов Amazon был отложен из-за отклоненного номера кредитной карты. В дни, предшествовавшие крупной конференции, Хаднаги сказал, что он был перегружен работой и щелкнул ссылку в электронном письме - вместо того, чтобы напрямую посещать Amazon. Страница, на которую он попал, была хорошо проработана, но, к счастью, он заметил домен «.ru», прежде чем вводить какую-либо личную информацию.
Хотя это было просто, эта тактика была очень эффективной. «Я парень, который из-за того, что я делаю, выловил более 190 000 человек за последние несколько месяцев», - сказал Хаднаги, имея в виду свою консультационную работу. «Я чуть не упал на эту атаку».
Еще одно преимущество апелляции к эмоциям заключается в том, что они не требуют исследований, в которых задействованы лучшие социальные инженеры. «То, что мы увидим, это то, что выбирают вещи, которые важны для масс». Хэднаги объяснил, что это включает доставку UPS, заказы Amazon и переводы PayPal.
Массовое обращение также хорошо подходит для массового вещания, еще одной частой тактики. «Они отправляют их миллионам людей одновременно, поэтому им все равно, получат ли они 100 процентов», - сказал Хаднаги. «10 процентов - это все еще тысячи скомпрометированных аккаунтов».
Оставаться в безопасности
Многие из тактик, используемых для обнаружения фишинговых писем, верны и для социальной инженерии. Все, что звучит слишком хорошо, чтобы быть правдой, или слишком плохо, чтобы быть правдой, вероятно, не соответствует действительности. Такие тактики, как наведение курсора на ссылки для просмотра полного URL-адреса, ввод веб-адресов вручную и недопущение появления ссылок, появляющихся неожиданно, - все это разумные тактики.
Но часть конкурса «Захват флага» в прямом эфире подчеркивает еще один аспект социальной инженерии: институциональное доверие. В этом году многие участники выступили в качестве коллег или продавцов, что дало сотрудникам целевых компаний немедленную причину доверять им. Иногда стоит задавать вопросы, когда кто-то, претендующий на пост генерального директора вашей компании, звонит вам лично.
Хэднаги сделал карьеру, объясняя социальную инженерию, но он не обеспокоен, если злоумышленники подхватывают его уловки. «Плохие парни не ищут данных о том, как это сделать», - сказал он SecurityWatch. «Они уже знают как. Проблема в том, что хорошие парни не знают». Благодаря своей работе Хэднаги считает, что он может научить корпоративную Америку и обычных людей критически относиться к их повседневному взаимодействию и как реагировать в наихудших сценариях. Хаднаги объяснил это так: «Вместо того, чтобы вооружать плохих парней, он вооружает хороших парней».
Изображение через пользователя Flickr Travis V.
