Mindannyian tudunk arról a típusú támadóról, aki technikai szakértelmét felhasználja a védett számítógépes rendszerek behatolásához és az érzékeny adatok veszélyeztetéséhez. Ez a fajta rosszindulatú színész folyamatosan híreket közöl, és arra késztet minket, hogy ellensúlyozzuk a kizsákmányolásukat azáltal, hogy új technológiákba fektetünk be, amelyek megerősítik hálózati védekezésünket.

Van azonban egy másik típusú támadó is, aki más taktikát alkalmaz a szoknya elõtt. eszközeinket és megoldásainkat. “Társadalmi mérnököknek” hívják őket, mert kihasználják az egyetlen gyengeséget, amely minden szervezetben megtalálható: az emberi pszichológiát. Telefonos hívások és más médiumok segítségével ezek a támadók átverik az embereket, hogy átadják a hozzáférést a szervezet érzékeny információihoz.

A social engineering egy olyan kifejezés, amely a rosszindulatú tevékenységek széles spektrumát öleli fel. E cikk alkalmazásában összpontosítsunk arra az öt leggyakoribb támadástípusra, amelyet a szociális mérnökök áldozataik megcélzásához használnak. Ezek az adathalászat, az ürügy, a csalás, a quid pro quo és tailgating.

Adathalászat

Az adathalászat a napjainkban előforduló social engineering támadások leggyakoribb típusa. De mi is ez pontosan? Magas szinten a legtöbb adathalász csalás arra törekszik, hogy megvalósítsa három dolog:

• szerezzen be személyes adatokat, például neveket, címeket és társadalombiztosítási számokat.
• Használjon rövidített vagy félrevezető linkeket, amelyek átirányítják a felhasználókat az adathalász céloldalakat tároló gyanús webhelyekre.
• Beépíteni a t bántalmazás, félelem és sürgető érzés annak érdekében, hogy manipulálják a felhasználót, hogy gyorsan reagáljon.

Nincs két egyforma adathalász e-mail. Az adathalász támadásoknak valójában legalább hat különböző alkategóriája van. Ezenkívül mindannyian tudjuk, hogy egyesek rosszul vannak kidolgozva, amennyiben üzeneteik helyesírási és nyelvtani hibáktól szenvednek. Ennek ellenére ezeknek az e-maileknek általában ugyanaz a célja, hogy hamis webhelyeket vagy űrlapokat használjon a felhasználói bejelentkezési adatok és egyéb személyes adatok ellopására.

Egy nemrégiben végrehajtott adathalász kampány egy sérült e-mail fiókot használt támadó e-mailek küldésére. Ezek az üzenetek arra kérték a címzetteket, hogy a beágyazott URL-re kattintva vizsgálják felül a javasolt dokumentumot. A Symantec Click-time URL Protection csomagolásával ez a rosszindulatú URL átirányította a címzetteket egy sérült SharePoint-fiókba, amely egy második rosszindulatú URL-t nyújtott be a OneNote dokumentumba ágyazva. Ez az URL viszont egy adathalász oldalra irányította a felhasználókat, akik a Microsoft Office 365 bejelentkezési portált tették közzé.

Elõszöveg

Az elõszöveg a közösségi tervezés másik formája, ahol a támadók jó ürügy létrehozására összpontosítanak. , vagy egy koholt forgatókönyv, amelyet arra használnak, hogy megpróbálják ellopni áldozataik személyes adatait. Az ilyen típusú támadásokban a csaló általában azt mondja, hogy bizonyos adatokra van szükségük a célpontjuktól identitásuk megerősítéséhez. Valójában ellopják ezeket az adatokat, és identitáslopás vagy másodlagos támadások elkövetésére használják fel őket.

A fejlettebb támadások néha megpróbálják becsapni a célpontjaikat olyasmire, amely visszaél a szervezet digitális és / vagy fizikai gyengeségeivel. Például egy támadó megszemélyesítheti egy külső informatikai szolgáltató auditorát, hogy megbeszélhesse a célvállalat fizikai biztonsági csapatát, hogy engedje be őket az épületbe.

Míg az adathalász támadások elsősorban a félelmet és a sürgősséget használják előnyükre, ürügyként a támadások az áldozattal szembeni hamis bizalom kialakításán alapulnak. Ehhez a támadónak hiteles történetet kell készítenie, amely kevés teret enged a kételynek a célpontja részéről.

Az ürügy különféle formákat ölthet és igen. Ennek ellenére sok fenyegetett szereplő, aki ezt a támadástípust magáévá teszi, úgy dönt, hogy HR-személyzetként vagy alkalmazottként álarcoskodik a pénzügyi fejlesztésben. Ezek az álruhák lehetővé teszik számukra a C szintű vezetők megcélzását, amint azt a Verizon megállapította a 2019-es Data Breach Investigations Report (DBIR) jelentésében.

Baiting

A baiting sok szempontból hasonlít az adathalász támadásokhoz. Ami azonban megkülönbözteti őket a társadalmi tervezés más típusaitól, az egy tétel vagy jó ígérete, amelyet a rosszindulatú szereplők az áldozatok csábítására használnak. A csalik kihasználhatják az ingyenes zene- vagy filmletöltések kínálatát, például arra késztetve a felhasználókat, hogy átadják bejelentkezési adataikat.

A csalástámadások sem korlátozódnak az online sémákra. A támadók az emberi kíváncsiság fizikai média használatával történő kiaknázására is összpontosíthatnak.

2018 júliusában például a KrebsOnSecurity beszámolt az Egyesült Államok állami és helyi kormányzati szerveket megcélzó támadási kampányról. A művelet kínai postabélyegzővel ellátott borítékokat küldött ki, amelyek zavaros levelet és CD-t tartalmaztak. A lényeg az volt, hogy felkelti a címzettek kíváncsiságát, hogy betöltsék a CD-t, és ezzel akaratlanul is megfertőzzék számítógépeiket rosszindulatú programokkal.

Quid Pro Quo

A csalihoz hasonlóan a quid pro quo támadások is ígéretet tesznek. előny az információért cserébe. Ez az előny általában szolgáltatás formáját ölti, míg a csali általában áru.

A quid pro quo támadások egyik leggyakoribb típusa, amely az utóbbi években jelent meg, amikor a csalók az USA Társadalombiztosítási Igazgatóságát (SSA) adják át. Ezek a hamis SSA-munkatársak kapcsolatba lépnek véletlenszerű személyekkel, tájékoztatják őket arról, hogy számítógépes probléma van a végén, és kérik, hogy erősítsék meg társadalombiztosítási számukat, mindezt személyazonosság-lopás elkövetése céljából. A Szövetségi Kereskedelmi Bizottság (FTC) által észlelt egyéb esetekben a rosszindulatú szereplők hamis SSA-webhelyeket hoznak létre, amelyek szerint segíthetik a felhasználókat az új társadalombiztosítási kártyák igénylésében, hanem egyszerűen ellopják személyes adataikat.

Fontos Megjegyezzük azonban, hogy a támadók olyan quid pro quo ajánlatokat használhatnak, amelyek sokkal kevésbé kifinomultak, mint az SSA témájú rúgások. Amint azt a korábbi támadások megmutatták, az irodai dolgozók több mint hajlandóak eladni a jelszavukat egy olcsó toll vagy akár egy csokoládéért. a napot úgy hívják, hogy farka vagy “piggybacking”. Az ilyen típusú támadásokban valaki, aki nem rendelkezik megfelelő hitelesítéssel, egy hitelesített alkalmazottat követ egy korlátozott területre. Előfordulhat, hogy a támadó megszemélyesíti a kézbesítési illesztőprogramot, és az épület előtt várakozhat a dolgok megkezdéséhez. Amikor egy alkalmazott megkapja a biztonsági jóváhagyást és kinyitja az ajtót, a támadó arra kéri az alkalmazottat, hogy tartsa az ajtót, és ezzel hozzáférjen az épülethez.

A hátsó ajtó nem minden vállalati környezetben működik, például nagyvállalatoknál, amelyek bejáratához kulcskártya használatára van szükség. , a támadók beszélgetést folytathatnak az alkalmazottakkal, és ezt az ismerősségüket arra használhatják, hogy túljuthassanak a recepción.

Valójában Colin Greenless, a Siemens Enterprise Communications biztonsági tanácsadója ezeket a taktikákat használta a hozzáféréshez több személyhez. emeletek és az FTSE által jegyzett pénzügyi cég adatszobája. Még egy boltot is fel tudott állítani egy harmadik emeleti tárgyalóban és több napig ott dolgozott.

Társadalmi mérnöki ajánlások

M Alien szereplők, akik társadalmi mérnöki tevékenységet folytatnak, támadják az emberi pszichológiát és a kíváncsiságot annak érdekében, hogy veszélyeztessék célpontjaik információit. Ezt az emberközpontú összpontosítást szem előtt tartva a szervezetek feladata, hogy segítsék alkalmazottaikat az ilyen típusú támadások leküzdésében.

Íme néhány tipp, amelyet a szervezetek beépíthetnek a biztonságtudatossági képzési programjaikba, amelyek segítenek a felhasználóknak a szociális mérnöki sémák elkerülése érdekében:

• Ne nyisson meg megbízhatatlan forrásokból származó e-maileket. Személyesen vagy telefonon vegye fel a kapcsolatot egy barátjával vagy családtagjával, ha gyanús e-mailt kap tőlük.
• Ne adjon ajánlatot idegenektől a kétség javára. Ha túl jónak tűnnek ahhoz, hogy igazak legyenek, akkor valószínűleg azok is.
• Zárja le laptopját, ha távol van a munkaállomástól.
• Vásároljon víruskereső szoftvert. Egyetlen AV megoldás sem képes megvédeni minden olyan fenyegetéstől, amely a felhasználók információinak veszélyeztetésére törekszik, de segíthetnek egyesek elleni védelemben.
• Olvassa el cége adatvédelmi irányelveit, hogy megismerje, milyen körülmények között engedhet be vagy szabad idegent beengednie egy idegenbe. épület.