Изкуството на социалното инженерство: Вие сте обусловени?
Когато ставаме по-добри в осигуряването на нашите компютърни системи, ние откриваме, че най-слабата защита е всъщност човешкото същество. Социалният инженеринг е мрачното изкуство да се манипулира хората. Социалните хакери може да искат достъп до сграда, да получат информация, която не би трябвало да имат, или просто да повишат статуса си в обществото.
Социалните хакери се прославиха във филми като „Улови ме ако можеш“ и „Шест градуса раздяла“ и същият чар, който им дава възможностите за манипулиране на жертви, може да се превърне, за да ги превърне в звезди за адулаторска публика.
Социалното хакване може да дойде под много форми, като телефонни и имейл измами, умишлено експлоатационни бракове или цели фалшиви самоличности, които се поддържат в продължение на десетилетия.
Но как правят това? И как можем да се защитим от хора, които имат дарба да накараме всички около себе си да свалят охраната си?
1) В интернет има много информация за вас
В тактика, наречена претекст, хакерът ще измисли предлог за връзка с вас, по телефон или имейл или лично. Често това ще означава да направите огромни изследвания за вашия произход, вашето образование, вашата работа и дори устройствата, които притежавате. Нападателите може да ви изненадат с нещо, което изглежда като вътрешна информация, може би като знаете вашия IP адрес или университетски номер. Те могат да използват информацията, която сте предложили доброволно някъде другаде в интернет, след което сте забравили.
Претекстът често се използва за получаване на повече информация от дадена цел и понякога се изразява като „потвърждаваща“ информация. Може да се използва за измама на потребителя да изпълнява чувствителни към сигурността задачи, като изтегляне на софтуер, деактивиране на защитни стени или заобикаляне на механизмите за сигурност.
Друга тактика е a техника на отклоняване. Това е, когато нападател ви убеждава да извършите плащане към друг акаунт или да изпратите пратката си на друг адрес. Доста често тази тактика се отнася до отклоняване на комуникациите или ключовете за криптиране. Някой може да ви се обади, като се преструва на представител на банка или доставчик на електронна поща, след което ще ви даде полезна информация относно предупредително съобщение. Лицето може да ви каже да „игнорирате безопасно“ предупрежденията. По същия начин може да бъдете помолени да започнете комуникация с някой „от друг отдел“ или да ви бъде предоставен алтернативен ключ за криптиране, който да използвате с вашия акаунт.
2) Ти си мил и честен човек
Повечето хора с удоволствие помагат на другите по някакъв начин и не подозират атака зад всяка заявка. И разбира се, не бива да заместваме своята полезност с непоносима параноя.
Трудно е да се поддържа здравословен баланс и често всякакви признаци на параноя се посрещат с присмех.
Ние сме по-малко подозрителни, когато ни се случват добри неща. Един скъп USB флаш, който намерите на пода, може да се окаже, че съдържа злонамерен софтуер или пухкавият плюшено мече, изпратен до вашия офис, може да съдържа камера или проследяващо устройство. Тази тактика е известна като Бикове, и в крайни случаи, нападателите могат да стигнат дотам, че да кажат, че са се „влюбили в теб“ или да предложат големи награди за състезания, които не си спомняте да участвате.
Като не проявяваме предпазливост и не проверяваме самоличността на хората, достигащи до нас, нападателите са способни установява власт над нас. В голяма организация може да е трудно да се знае точно кой е по-нагоре по командната верига, а новите служители са особено уязвими от този вид измами. Една корпорация може да е по-податлива на подобни атаки след промени в управлението или преструктуриране.
Социалните хакери могат дори използвайте своята доброта много по-грубо, просто като искаш нещо. В груба работна среда стресираните служители често реагират много положително на любезни заявки. Всъщност повечето хора ще отговорят на доброта или авторитет.
3) Вие разкривате повече за вас, отколкото си мислите
Може да не знаете дали сте от типа човек, който реагира по-добре на авторитет или на доброта, но умел нападател може бързо да разбере, като чете фини знаци в изражението на лицето или жестовете на ръцете ви.
Виктор Лустиг, майсторът измамник, който е измамил търговеца на скрап, вярвайки, че е купил Айфеловата кула, обяснява:
- Бъдете търпелив слушател (именно този, не бързият разговор, получава мошеник, който се превръща).
- Изчакайте другият човек да разкрие някакви политически мнения, след което се съгласете с тях.
- Нека другият човек да разкрие религиозни възгледи, а след това да има същите.
- Съвет за секс разговори, но не го следвайте, освен ако другият не прояви силен интерес.
- Никога не обсъждайте заболяване, освен ако не се прояви някаква специална загриженост.
- Никога не се взирайте в личните обстоятелства на човека (целта в крайна сметка ще ви каже всички).
- Никога не се хвалете – просто нека значението ви да бъде тихо очевидно.
По-целенасочен и ефективен може да бъде фишинг атакуват. В най-често срещаната му форма получавате имейл от вашата банка с искане да влезете в акаунта си. Но вместо да бъдете насочени към уебсайта на вашата банка, вие сте изпратени до идентичен сайт, собственост на нападателите. Тази атака дори може да заобиколи двуфакторната автентификация. Когато нападателите се опитат да влязат в реалната си сметка, може да получите текстово съобщение с код за сигурност от вашата банка. Те ще получат това, просто като ви помолят да го въведете на техния фалшив сайт.
4) Умът ви лесно скача до заключения
Мразим да признаем, когато не разпознаваме хора, които твърдят, че ни познават. Особено, ако изглежда, че знаят интимни подробности за себе си. Всъщност е много по-вероятно да се подмамим да мислим, че трябва да познаваме човека, вместо да рискуваме да се сблъскаме, за да изясним същността на връзката си. Това се използва в безброй телефонни измами, при които хората са подмамени да вярват, че далечните им роднини се обаждат и се нуждаят от финансова помощ.
Уилям Томпсън, който е живял в Ню Йорк през 40-те години на миналия век, убеждава случайни непознати не само, че го познават, но и че могат да му се доверят, като се грижат за ценните им притежания. Той бързо стана известен в цялата страна като „човекът на увереността“.
5) Склонни сте да вярвате, че другите са като вас
Нямате зли намерения, така че защо другите? Трудно ни е да си представим, че понякога привидно обикновените хора искат да ви навредят.
Знаете за злите хакери, но те нападат само национални държави и активисти за граждански права, нали? Защо някой би минал през усилията да се опита да те хакне? Нямате случаи на пари или търговски тайни, които да крадете. Така че защо хората биха искали да ви навредят?
В действителност вие и вашите данни вероятно сте много по-ценни, отколкото си мислите, и може би вече сте атакувани по един или друг начин. Може да е автоматизирана атака или може да е просто съвпадение, но вие сте разумни да не се доверявате сляпо на щастливите съвпадения. Внимавайте с внезапната поява на стар познат или всяка странна заявка, която идва по телефона.
Прочетете повече съвети за поверителност и безопасност в интернет тук
17.04.2023 @ 17:30
Когато подобряваме сигурността на нашите компютърни системи, откриваме, че най-слабата точка е човешкото същество. Социалният инженеринг е мрачното изкуство да се манипулира хората. Социалните хакери могат да искат достъп до сграда, да получат информация, която не би трябвало да имат, или просто да повишат статуса си в обществото. Те използват различни техники, като претекст, отклоняване и Бикове, за да получат повече информация от жертвите си. Ние трябва да бъдем предпазливи и да проверяваме самоличността на хората, достигащи до нас, за да се защитим от социалните хакери.