Videó: How To Get A FREE Shadow Dragon In Adopt Me.. Roblox Adopt Me NEW Halloween Update (November 2024)
A közösségi mérnöki feladat az adathalász e-mailek és a rosszindulatú webhelyek, amelyek biztonságos, népszerű weboldalaknak tűnnek fel. A Chris Hadnagy-szel, a Social-Engineer Inc. fő emberi hackereivel folytatott beszélgetés során megkérdeztem tőle, hogyan lehet észrevenni ezeket a csalásokat. Tanácsa megegyezik azzal, amit gyakran mondtunk az olvasóknak: mindig legyen gyanús.
Több, mint egy con
A Hadnagymal folytatott megbeszélésem alapján egyértelmű, hogy néhány, amit társadalommérnököknek nevezünk, ugyanazok a trükkök, amelyeket az emberek évek óta alkalmaznak a döntések befolyásolására. A gyorséttermi ipar például híresen feltárta, hogy mely színek ösztönzik az embereket gyorsabb étkezésre. A 19. századi hamis spiritiszták (ideértve a családom tagjait is) és manapság a „hideg olvasás” elnevezésű taktikát használják az áldozatok megtévesztésére, hogy magukról információkat derítsenek fel.
De nemcsak olcsó trükkök, hanem a szociális mérnöki munka is, amint ezt a Def Con-ban megrendezett „Social Engineering Capture the Flag” verseny is bebizonyította. A versenyzők itt pontokat szereznek az általuk kutatott társaságoktól és azokkal a közvetlen kapcsolatfelvételért kapott információért. Hadnagy elmondta, hogy a legjobb pontozású versenyzők szintén elvégezték a legtöbb kutatást, amely megmutatja, mennyire hasznos megismerni a célokat.
Sajnos most nagyszerű alkalom arra, hogy szociális mérnökként kutatásokat végezzünk, vagy nyílt forrású információgyűjtést végezzünk. Hadnagy elmondta, hogy a vállalatok és az egyének sok információt helyeznek el a közösségi médiában, amelyek nagy részét felhasználhatják a társadalmi mérnöki támadások során. Korábban azt vizsgáltuk, hogy a csalók miként próbálták felhasználni a Facebook által gyűjtött információkat annak érdekében, hogy a csalások vonzóbbnak tűnjenek - néha vidám eredményekkel.
Célzás érzelemre
Az egyik legjobb szociális mérnöki taktika az, ha megakadályozza, hogy kritikusan gondolkozzon, általában érzelmekkel. Hadnagy elmondta, hogy egy olyan támadás, amely majdnem becsapta őt, állítólag egy Amazon szállítási e-mail volt. "Ez valami személyes, valami, amely befolyásolta az életem, és valami, ami fontos számomra" - mondta.
Ebben a támadásban Hadnagy e-mailt kapott, amelyben kijelentette, hogy egyik fontos Amazon-megrendelése a hitelkártya-szám elutasítása miatt késik. A nagy konferencia elõtti napokban Hadnagy elmondta, hogy túlterhelt, és az e-mailben található linkre kattintott - ahelyett, hogy közvetlenül meglátogatná az Amazonot. A felkeresett oldal jól kidolgozott, de szerencsére észrevette a ".ru" domaint, mielőtt bármilyen személyes információt megadott volna.
Bár ez egyszerű volt, ez a taktika nagyon hatékony. "Én vagyok az a fickó, aki az általam elvégzett munkák miatt több mint 190 000 embert gyűjtött be az elmúlt néhány hónapban" - mondta Hadnagy, konzultációs munkájára hivatkozva. "Majdnem elbuktam a támadás miatt."
Az érzelmek vonzásának másik előnye, hogy nem igényel olyan kutatást, amelyet a legjobb szociális mérnökök alkalmaznak. "Amit látni fogunk, válasszuk a tömegek számára fontos dolgokat." Hadnagy elmondta, hogy ez magában foglalja az UPS szállítást, az Amazon megrendeléseket és a PayPal átutalásokat.
A tömeges vonzerő is jól működik a tömeges műsorszórásban, ez egy másik gyakori taktika. "Egyszerre több millió embernek küldik el őket, így nem érdekli, hogy 100% -ot kapnak-e" - mondta Hadnagy. "A 10 százalék még mindig több ezer veszélyeztetett számla."
Biztonságban marad
Az adathalász e-mailek észlelésére használt sok taktika igaz a szociális mérnöki munkákra is. Bármi, ami túl jónak hangzik, hogy igaz legyen - vagy túl rossz, hogy igaz legyen, valószínűleg nem igaz. A taktika, mint például a hivatkozások fölé történő lebegetés a teljes URL megtekintéséhez, a webcímek kézi megadása és a kékből érkező linkek elkerülése, mind hangtaktika.
A Capture the Flag zászlóverseny élő hívása azonban kiemeli a társadalomtechnika egy másik aspektusát: az intézményi bizalmat. Ebben az évben sok versenyző munkatársként vagy eladóként jelentkezett, ami azonnali okot adott a célországban dolgozó munkavállalóknak, hogy bízzanak benne. Időnként fizetni kell, ha valaki azt állítja, hogy a vállalat vezérigazgatója, személyesen felhív téged.
Hadnagy karriert folytatott a szociális mérnöki munka elmagyarázásával, de őt nem aggasztja, ha a támadók felveszik a trükköket. "A rossz fiúk nem keresik az adatokat, hogyan lehet ezt megtenni" - mondta a SecurityWatch-nek. "Már tudják, hogyan. A probléma az, hogy a jó fiúk nem." Munkája során Hadnagy úgy véli, hogy megtaníthatja a vállalati Amerikát és a szokásos embereket arra, hogyan kell kritikusan gondolkodni napi interakcióikról, és hogyan lehet reagálni a legrosszabb esetekben. Hadnagy így magyarázta: "Ahelyett, hogy a fegyvereket felfegyverkeznék, a jó fiúkat fegyverzi."
Kép a Flickr felhasználói Travis V-n keresztül
