huis-Betaalsystemen-Social engineering. Omgekeerde social engineering

Social engineering. Omgekeerde social engineering

Social engineering- een methode om de noodzakelijke toegang tot informatie te verkrijgen op basis van de eigenaardigheden van de menselijke psychologie. Het belangrijkste doel van social engineering is om toegang te krijgen tot vertrouwelijke informatie, wachtwoorden, bankgegevens en andere beschermde systemen. Hoewel de term social engineering nog niet zo lang geleden is verschenen, wordt de methode om op deze manier aan informatie te komen al geruime tijd gebruikt. CIA- en KGB-agenten die staatsgeheimen willen bemachtigen, politici en parlementsleden, en wijzelf, als we iets willen krijgen, vaak zonder het zelf te beseffen, gebruiken social engineering-methoden.

Om jezelf te beschermen tegen de effecten van social engineering, moet je begrijpen hoe het werkt. Laten we eens kijken naar de belangrijkste soorten social engineering en methoden om ze te beschermen.

Voorwendsel- Dit is een geheel van handelingen, uitgewerkt volgens een bepaald, vooraf opgesteld scenario, waardoor het slachtoffer alle informatie kan vrijgeven of een bepaalde handeling kan uitvoeren. Meestal omvat dit type aanval het gebruik van spraakhulpmiddelen zoals Skype, telefoon, enz.

Om deze techniek te gebruiken, moet de aanvaller in eerste instantie over enkele gegevens van het slachtoffer beschikken (naam werknemer; functie; naam van projecten waarmee hij werkt; geboortedatum). De aanvaller gebruikt in eerste instantie echte zoekopdrachten met de namen van bedrijfsmedewerkers en ontvangt, nadat hij vertrouwen heeft gewonnen, de informatie die hij nodig heeft.

Phishing- de techniek van internetfraude, gericht op het verkrijgen van vertrouwelijke informatie van gebruikers - autorisatiegegevens van verschillende systemen. Het belangrijkste type phishing-aanvallen is een valse e-mail die naar een slachtoffer wordt gestuurd en die eruitziet als een officiële brief van een betalingssysteem of een bank. De brief bevat een formulier voor het invoeren van persoonsgegevens (pincodes, login en wachtwoord, etc.) of een link naar de webpagina waar zo'n formulier staat. De redenen om het slachtoffer op dergelijke pagina's te vertrouwen kunnen verschillend zijn: accountblokkering, systeemstoring, gegevensverlies, enz.

Trojaanse paard- Deze techniek is gebaseerd op nieuwsgierigheid, angst of andere emoties van gebruikers. De aanvaller stuurt een brief naar het slachtoffer via e-mail, waarvan de bijlage een "update" van de antivirus bevat, een sleutel tot geldelijk gewin of belastend bewijsmateriaal tegen een werknemer. In feite bevat de bijlage een kwaadaardig programma dat, nadat de gebruiker het op zijn computer heeft uitgevoerd, zal worden gebruikt om informatie te verzamelen of te wijzigen door een aanvaller.

Qwi pro quo(quid pro quo) - bij deze techniek neemt de aanvaller contact op met de gebruiker via e-mail of zakelijke telefoon. Een aanvaller kan zich bijvoorbeeld voorstellen als medewerker technische ondersteuning en informeren over technische problemen op de werkvloer. Vervolgens informeert hij over de noodzaak om ze te elimineren. Tijdens het "oplossen" van een dergelijk probleem dwingt de aanvaller het slachtoffer om acties te ondernemen die de aanvaller in staat stellen bepaalde opdrachten uit te voeren of de benodigde software op de computer van het slachtoffer te installeren.

Reis appel- Deze methode is een aanpassing van een Trojaans paard en bestaat uit het gebruik van fysieke media (cd, flashdrives). Een aanvaller laat dergelijke media meestal vallen op openbare plaatsen op het terrein van het bedrijf (parkeerplaatsen, kantines, werknemerswerkplekken, toiletten). Om ervoor te zorgen dat een medewerker geïnteresseerd raakt in deze media, kan een aanvaller het bedrijfslogo en een soort handtekening op de media plaatsen. Bijvoorbeeld "verkoopgegevens", "personeelssalarissen", "belastingrapport" en andere.

Omgekeerde social engineering- dit type aanval is gericht op het creëren van een situatie waarin het slachtoffer wordt gedwongen zich tot de aanvaller te wenden voor "hulp". Een aanvaller kan bijvoorbeeld een e-mail sturen met de telefoonnummers en contacten van de "ondersteuningsdienst" en na een tijdje omkeerbare problemen veroorzaken op de computer van het slachtoffer. In dit geval zal de gebruiker de aanvaller zelf bellen of e-mailen, en tijdens het "repareren" van het probleem kan de aanvaller de gegevens verkrijgen die hij nodig heeft.


Figuur 1 - De belangrijkste soorten social engineering

tegenmaatregelen

De belangrijkste verdediging tegen social engineering-praktijken is door middel van training van werknemers. Alle werknemers van het bedrijf moeten worden gewaarschuwd voor de gevaren van het vrijgeven van persoonlijke informatie en vertrouwelijke informatie van het bedrijf, evenals voor manieren om gegevenslekken te voorkomen. Bovendien moet elke medewerker van het bedrijf, afhankelijk van de afdeling en functie, instructies hebben over hoe en over welke onderwerpen u met de gesprekspartner kunt communiceren, welke informatie kan worden verstrekt aan de technische ondersteuningsdienst, hoe en wat de medewerker van de bedrijf moet melden om die of andere informatie van een andere werknemer te krijgen.

Daarnaast zijn de volgende regels te onderscheiden:

  • Gebruikersgegevens zijn eigendom van het bedrijf.
    • Op de dag van aanwerving moeten alle werknemers worden uitgelegd dat de logins en wachtwoorden die aan hen zijn gegeven niet voor andere doeleinden (op websites, voor persoonlijke post, enz.) mogen worden gebruikt, overgedragen aan derden of andere werknemers van het bedrijf, die daar niet het recht toe hebben. Heel vaak kan een werknemer bijvoorbeeld wanneer hij op vakantie gaat zijn autorisatiegegevens overdragen aan zijn collega zodat hij wat werk kan doen of bepaalde gegevens kan inzien op het moment van zijn afwezigheid.
  • Het is noodzakelijk om inleidende en regelmatige trainingen voor bedrijfsmedewerkers te geven, gericht op het vergroten van de kennis van informatiebeveiliging.
    • Door dergelijke briefings te houden, kunnen de werknemers van het bedrijf beschikken over actuele gegevens over bestaande methoden van social engineering en mogen ze de basisregels voor informatiebeveiliging niet vergeten.
  • Het is verplicht dat er veiligheidsvoorschriften zijn, evenals instructies waar de gebruiker altijd toegang toe moet hebben. De instructies moeten het handelen van medewerkers beschrijven in het geval van een bepaalde situatie.
    • In de regelgeving kunt u bijvoorbeeld voorschrijven wat er moet gebeuren en waar te gaan wanneer een derde partij probeert om vertrouwelijke informatie of referenties van werknemers op te vragen. Dergelijke acties helpen de aanvaller te identificeren en informatielekken te voorkomen.
  • De computers van medewerkers moeten altijd up-to-date zijn met antivirussoftware.
    • Ook op werknemerscomputers moet een firewall zijn geïnstalleerd.
  • In het bedrijfsnetwerk van het bedrijf is het noodzakelijk om systemen te gebruiken voor het detecteren en voorkomen van aanvallen.
    • Het is ook noodzakelijk om systemen te gebruiken om het lekken van vertrouwelijke informatie te voorkomen. Dit alles zal het risico op fytine-aanvallen verminderen.
  • Alle medewerkers dienen te worden geïnstrueerd hoe zij met bezoekers moeten omgaan.
    • Er zijn duidelijke regels nodig om de identiteit van de bezoeker en zijn begeleider vast te stellen. Bezoekers dienen altijd vergezeld te worden door iemand van het bedrijf. Als een medewerker een voor hem onbekende bezoeker ontmoet, moet hij in de juiste vorm vragen waarvoor de bezoeker zich in deze ruimte bevindt en waar zijn begeleider is. Indien nodig moet de medewerker een onbekende bezoeker melden bij de beveiligingsdienst.
  • Het is noodzakelijk om gebruikersrechten in het systeem zoveel mogelijk te beperken.
    • U kunt bijvoorbeeld de toegang tot websites beperken en het gebruik van verwisselbare media verbieden. Immers, als een medewerker niet op een phishingsite kan komen of een flashdrive met een Trojaans programma op zijn computer niet kan gebruiken, kan hij ook geen persoonlijke gegevens kwijtraken.

Op basis van al het bovenstaande kunnen we concluderen dat de belangrijkste manier om te beschermen tegen social engineering het opleiden van medewerkers is. Het is noodzakelijk om te weten en te onthouden dat onwetendheid niet ontslaat van verantwoordelijkheid. Elke gebruiker van het systeem moet zich bewust zijn van de gevaren van het vrijgeven van vertrouwelijke informatie en weten hoe lekkage kan worden voorkomen. Een gewaarschuwd iemand telt voor twee!

  • CROC-blog

    • Zoals de wereldpraktijk van succesvol uitgevoerde hacks (met succes voor aanvallers natuurlijk) laat zien, hebben de meeste problemen juist te maken met problemen met mensen. Om preciezer te zijn, het gaat erom dat ze in staat zijn om informatie te geven en compleet domme acties uit te voeren.

    Ik denk dat je heel goed bekend bent met IT-voorbeelden, dus ik herinner me een voorbeeld uit het boek "The Psychology of Influence": psychologen riepen verpleegsters in ziekenhuizen, en deden zich toen voor als arts en gaven het bevel om een ​​dodelijke dosis van een stof toe te dienen aan een patiënt. De zuster wist wat ze deed, maar in 95% van de gevallen volgde ze het bevel op (ze werd bij de ingang van de afdeling tegengehouden door de assistenten van de psycholoog). Tegelijkertijd was de arts op de een of andere manier niet eens geautoriseerd. Waarom deed de zus dit? Simpelweg omdat ze gewend is aan gezag te gehoorzamen.

    Laten we het opnieuw nemen: in het voorbeeld dankzij slimme social engineering 95% van de ziekenhuizen was kritiek kwetsbaar.

    De methode is niet verouderd

    Systemen veranderen voortdurend. Software en hardware worden steeds complexer. Om het onderwerp zowel in de verdediging als in de aanval min of meer zelfverzekerd onder de knie te krijgen, moet je constant alle nieuwe producten in de gaten houden, de eerste zijn die nieuwe dingen ziet en de hele IT-achtergrond van het probleem heel goed begrijpen. Dit is het pad van de klassieke hacker, degene met een aureool van romantiek. In de moderne wereld hebben hackers eerder in een groep van verschillende smalle specialisten getraind in specifieke doeltechnologieën, maar de hoofdtaak is altijd om door te dringen tot de beschermingsperimeter.

    Dit betekent dat u vroeg of laat hoogstwaarschijnlijk social engineering nodig zult hebben. En meestal - vroeg, want eerst is er een verzameling informatie en voorbereiding, en vervolgens worden technologieën en diepgaande kennis van IT-systemen er bovenop gelegd.

    Als uw bedrijf een beveiligingsafdeling heeft, is de kans groot dat er paranoïde mensen zijn die begrijpen hoeveel waardevolle gegevens werknemers kunnen hebben, plus cynici die helemaal niet in mensen geloven. Dit team schetst rechten, schrijft instructies en werkt kritische situaties in de praktijk uit. Over het algemeen kun je hierdoor enige immuniteit opwekken, maar het biedt nog steeds geen behoorlijk niveau van bescherming. Wat het meest onaangename is, in social engineering kun je niet "patchen" en vergeten - eenmaal geleerd door een aanvaller, zullen de mechanica altijd werken, omdat het gedrag van mensen in het algemeen niet veel verandert.

    Basis social engineering-model

    Van elke medewerker wordt verwacht dat hij een ander niveau van beveiligingscompetentie en toegangsniveau heeft. Lijnmedewerkers (bijvoorbeeld meisjes van de receptie) hebben geen toegang tot kritieke informatie, dat wil zeggen dat zelfs het in beslag nemen van hun accounts en het verkrijgen van alle gegevens waarvan ze weten dat dit geen ernstige schade voor het bedrijf zal veroorzaken. Maar hun gegevens kunnen worden gebruikt om al binnen het beschermde gebied naar de volgende fase te gaan. U kunt bijvoorbeeld de namen van werknemers opvragen en een niveau hoger roepen, zich voordoend als een van hen. In dit geval kun je als een autoriteit spelen (zoals in het voorbeeld met artsen hierboven), of je kunt gewoon een paar onschuldige vragen stellen en een stukje van de puzzel krijgen. Of ga verder, naar de volgende medewerker met meer kennis, gebruikmakend van het feit dat het in het team gebruikelijk is om elkaar te helpen, en paranoia niet mee te nemen als er naar een aantal belangrijke gegevens wordt gevraagd. Zelfs met strikte instructies is de kans groot dat emoties altijd zwaarder wegen.

    Geloof me niet? Stel je een situatie voor waarin een aanvaller een maand lang meerdere keren per week hetzelfde meisje belt vanuit een callcenter. Hij stelt zich voor als medewerker, brengt veel positieve emoties met zich mee, praat levendig, verduidelijkt wat openhartige dingen, vraagt ​​soms om kleine hulp. Duidelijke autorisatie wordt vervangen door het feit dat de persoon veelvuldig belt. Tien, twintig, indien nodig - dertig keer. Tot het een van de fenomenen van het leven wordt. Hij is van hemzelf, omdat hij op de hoogte is van verschillende details van het werk van het bedrijf en constant belt. Voor de 31e keer doet de aanvaller opnieuw een klein verzoek, maar dit keer om belangrijke gegevens. En geeft zo nodig een logische en plausibele motivering waarom het nodig is, en in welke problemen hij zit. Natuurlijk zal een normaal persoon hem helpen.

    Als je denkt dat alleen incompetente gebruikers vatbaar zijn voor dergelijke aanvallen, open dan het boek "The Art of Deception", waar Mitnick in de inleiding vertelt hoe hij zichzelf voorstelde als de hoofdontwikkelaar van het project en even de systeembeheerder om bevoorrechte toegang tot het systeem te verlenen. Let op, een persoon die perfect begreep wat hij precies aan het doen was.

    Een mooie variant is bank IVR phishing, waarbij het slachtoffer van een aanval een e-mail ontvangt met een phishing "klantencentrum" nummer, waarbij het antwoordapparaat op een gegeven moment vraagt ​​om belangrijke kaartgegevens in te voeren voor autorisatie.

    Meer speciale gevallen

    U kunt de bronnen van het doelwit phishing. Of plaats bijvoorbeeld op deze externe bronnen malware die de machines van het bedrijf infecteert (trouwens een van de belangrijkste vectoren van aanvallen van de afgelopen jaren). Je kunt een schijf met iets interessants aan een medewerker geven (in de verwachting dat hij de software zal lanceren of informatie van daaruit zal gebruiken), je kunt sociale netwerken gebruiken om gegevens te verzamelen (de structuur van het bedrijf te identificeren) en communiceren met specifieke mensen in het. Er zijn veel opties.

    Samenvatting

    Social engineering kan dus worden gebruikt om gegevens over een doel te verzamelen ("Hallo! me verdachte klant. Kunt u mij het nummer van zijn kaart vertellen waarmee hij de laatste keer heeft betaald? "), direct toegang krijgend tot het systeem: "Dus, wat voer je nu precies in? Kunt u dat alstublieft spellen. Seven-es is als een dollar-procent-te-te groot ... "). En zelfs om dingen te krijgen die anders niet te krijgen zijn. Als een computer bijvoorbeeld fysiek is losgekoppeld van het netwerk, kan een "verwerkte" persoon deze verbinden.

    In de voorbereiding op het hackertoernooi was er een probleem met een meisje op een respawn die per ongeluk 30 seconden afwezig was. Wat zou je kunnen doen in deze tijd? Iets op haar auto zetten? Nee, er is niet genoeg tijd of gebruikersrechten. Documenten stelen van je bureau of jezelf alle brieven sturen? Geen goed idee, je zult opgemerkt worden. Zelfs alleen maar achter haar computer zitten is al gevaarlijk vanwege de mogelijk verborgen camera op kantoor. De beste antwoorden lagen op het vlak van sociale interactie: een sticker plakken met het nummer van de technische ondersteuning, haar mee uit vragen, enzovoort. Daten wordt niet beoordeeld, maar het geeft je een heleboel gegevens over de hiërarchie in het bedrijf en de persoonlijke zaken van werknemers.

    Dus terug naar het educatieve programma. Lees "The Art of Deception" (je zult de specifieke dialogen daar zeker leuk vinden), het hoofdstuk over social engineering uit het boek van Denis Feria met de pretentieuze titel "Secrets of a Super Hacker", de serieuze "Psychology of Influence", en om te beginnen - met een beschrijving van de basistechnieken. Als je geen sterke beveiligingsafdeling hebt, waarschuw dan na het lezen je baas en doe een eenvoudige penetratietest. Je zult waarschijnlijk veel leren over menselijke goedgelovigheid.

    Cyber ​​Readiness Challenge en Social Engineering

    Naast technische methoden om sociale bedreigingen te voorkomen (zoals de introductie van een gemeenschappelijk platform voor het uitwisselen van berichten binnen het bedrijf, verplichte authenticatie van nieuwe contacten, enzovoort), is het nodig om gebruikers uit te leggen wat er precies gebeurt tijdens dergelijke aanvallen. Toegegeven, dit is nutteloos als je theorie niet combineert met praktijk, namelijk af en toe zelf als aanvaller optreden en je eigen systemen proberen binnen te dringen. Na een paar 'oefeningen' en debriefing zullen medewerkers bij het bellen in ieder geval denken of ze worden gecontroleerd.

    Om de dreiging het hoofd te bieden, moet je natuurlijk "in het hoofd kruipen" van de aanvaller die je aanvalt en leren denken zoals hij. Als onderdeel van een offline toernooi

    In het tijdperk van informatietechnologie heeft social engineering een sterke band gekregen met cybercriminaliteit, maar in feite verscheen dit concept lang geleden en had het aanvankelijk geen uitgesproken negatieve connotatie. Als je denkt dat social engineering zo'n fictie is uit dystopische boeken of een twijfelachtige psychologische praktijk, dan zal dit artikel je van gedachten doen veranderen.

    Wat wordt social engineering genoemd?

    De term zelf is sociologisch en duidt een reeks benaderingen aan om voorwaarden te scheppen waaronder het mogelijk is om menselijk gedrag te beheersen. Tot op zekere hoogte worden social engineering-technieken al sinds de oudheid door mensen gebruikt. In het oude Griekenland en het oude Rome werden redenaars met een speciale overtuigingskunst zeer gewaardeerd, zulke mensen werden aangetrokken om deel te nemen aan diplomatieke onderhandelingen. De activiteiten van de speciale diensten zijn ook grotendeels gebaseerd op de methoden van social engineering, en de 20e eeuw staat vol met voorbeelden van welke resultaten kunnen worden bereikt met bekwame manipulatie van menselijk bewustzijn en gedrag. De pioniers van social engineering in de vorm waarin het vandaag bestaat, worden beschouwd als telefoonoplichters, die in de jaren 70 van de vorige eeuw verschenen, en deze wetenschap kwam op het gebied van informatietechnologie dankzij de voormalige hacker Kevin Mitnick, die nu adviseur informatiebeveiliging en schrijft boeken over zijn pad als social engineer.

    Op het gebied van cybercrime verwijst social engineering naar de technieken en technieken die aanvallers gebruiken om de gewenste gegevens te verkrijgen of het slachtoffer ertoe aan te zetten de gewenste actie te ondernemen. Zoals Kevin Mitnick zei, is het meest kwetsbare punt in elk beveiligingssysteem een ​​persoon, en cybercriminelen zijn zich hiervan bewust. Social engineers zijn goede psychologen, ze vinden op meesterlijke wijze een benadering van een bepaalde persoon, wrijven zichzelf gemakkelijk in vertrouwen, gebruiken allerlei trucs en trucs - en dit alles om vertrouwelijke informatie te bemachtigen.

    Hoe werken social engineers?

    De film "Catch Me If You Can", gebaseerd op het gelijknamige boek, vertelt over gebeurtenissen in het leven van een echte persoon, Frank Abagnale. Nu is hij een expert op het gebied van documentaire beveiliging, maar in het midden van de twintigste eeuw vervalste Abagnale cheques en verstopte hij zich vijf jaar lang op briljante wijze voor de politie, waarbij hij gemakkelijk veranderde in verschillende mensen, van piloot tot dokter. Dergelijk gedrag, trucs en subtiel psychologisch spel zijn een goed voorbeeld van social engineering.

    Als Frank Abagnale, om zijn doelen te bereiken, persoonlijk contact moest opnemen met mensen met behulp van psychologische trucs en acteren, halen aanvallers tegenwoordig informatie op afstand via internet en mobiele communicatie. Zowel gewone computergebruikers als werknemers van grote bedrijven die goed thuis zijn in informatiebeveiligingskwesties vallen voor de trucs van hackers. Het grootste gevaar is dat het slachtoffer vrijwillig de nodige informatie verstrekt, zonder zelfs maar te weten dat hij met zijn acties de dader helpt.

    De manipulatie van gedachten en handelingen wordt mogelijk door cognitieve vervormingen - afwijkingen in onze waarneming, denken en gedrag. Deze fouten kunnen worden veroorzaakt door stereotypen, emotionele of morele toestand, de invloed van de samenleving, afwijkingen in het werk van de hersenen. Onder invloed van een of meer factoren treedt er een storing op in het stadium van het analyseren van de ontvangen informatie, waardoor we een onlogisch oordeel kunnen vellen, gebeurtenissen verkeerd kunnen interpreteren of irrationele acties kunnen ondernemen. Omdat ze op de hoogte zijn van deze kenmerken van het werk van het menselijk denken, creëren sociale ingenieurs situaties waarin het slachtoffer waarschijnlijk de gewenste actie zal uitvoeren, en, zoals de praktijk laat zien, blijken cognitieve vervormingen sterker te zijn dan wij.

    Voorbeelden van social engineering

    Om hun doelen te bereiken, maken aanvallers gebruik van menselijke nieuwsgierigheid, welwillendheid, beleefdheid, luiheid, naïviteit en andere zeer verschillende kwaliteiten. Een aanval op een persoon (zoals hackers social engineering noemen) kan in veel scenario's worden uitgevoerd, afhankelijk van de situatie, maar er zijn enkele van de meest voorkomende technieken voor aanvallers.

    phishing. Deze methode blijkt effectief te zijn vanwege onvoorzichtigheid van de gebruiker. Het slachtoffer ontvangt een brief van een bekende website, organisatie of zelfs een privépersoon naar de e-mail van het slachtoffer met het verzoek om de gespecificeerde acties uit te voeren door op de link te klikken. Meestal vragen ze om in te loggen. Een persoon gaat naar de site en voert zijn gebruikersnaam en wachtwoord in, zonder zelfs maar naar de afzender van het bericht en naar het adres van de site te kijken, en de oplichters ontvangen zo de gegevens die nodig zijn voor het hacken, waarna ze acties uitvoeren op de bladzijde.

    Trojaans. Het is een virus dat zijn naam dankt aan een principe dat lijkt op het paard van Troje uit de oude Griekse mythe. De gebruiker downloadt een programma of zelfs een afbeelding, en onder het mom van een onschadelijk bestand dringt een virus de computer van het slachtoffer binnen, met behulp waarvan de aanvallers gegevens stelen. Soms gebeurt deze download automatisch wanneer een persoon op een merkwaardige link klikt, dubieuze sites of verdachte e-mails opent. Waarom wordt dit soort gegevensdiefstal social engineering genoemd? Omdat de makers van het virus heel goed weten hoe ze een kwaadaardig programma moeten verbergen, zodat je hoogstwaarschijnlijk op de gewenste link klikt of een bestand downloadt.

    Qui over de quo. Van het Latijnse quid pro quo, wat 'dit voor dat' betekent. Dit soort fraude werkt op een tegenprestatie. De aanvaller stelt zich voor als een medewerker van de technische ondersteuning en biedt aan om de problemen op te lossen die zijn ontstaan ​​in het systeem of op de computer van een specifieke gebruiker, hoewel er in werkelijkheid geen problemen waren met de werking van de software. Het slachtoffer gelooft in de aanwezigheid van storingen, die door de "specialist" aan haar zijn gemeld, en verstrekt graag de benodigde gegevens of voert acties uit die door de fraudeur worden gedicteerd.

    Omgekeerde social engineering

    Dit is de naam van het type aanval waarbij het slachtoffer zelf contact opneemt met de aanvaller en hem van de nodige informatie voorziet. Dit kan op verschillende manieren worden bereikt:

    • Implementatie van speciale software. In eerste instantie werkt het programma of systeem naar behoren, maar dan treedt er een storing op, waarbij de tussenkomst van een specialist noodzakelijk is. Uiteraard is de situatie zo ingericht dat de specialist die om hulp wordt gevraagd een social hacker is. Door het werk van de software aan te passen, voert de fraudeur de manipulaties uit die nodig zijn voor hacking. Soms wordt de benodigde informatie niet verkregen door direct met de computer te werken, maar door communicatie met de gebruiker, die, omwille van de snelste reparatie van de apparatuur, klaar staat om de meester over vertrouwelijke informatie te informeren. Later, wanneer een hack wordt ontdekt, kan de social engineer achter het masker van een helper boven alle verdenking staan, wat social engineering tot een zeer nuttig hulpmiddel maakt.
    • Reclame. Aanvallers kunnen hun diensten adverteren als computerwizards of andere professionals. Het slachtoffer neemt zelf contact op met de inbreker en de crimineel gaat niet alleen technisch te werk, maar vist ook informatie uit de communicatie met zijn cliënt.
    • Helpen. Een social engineer kan opzettelijk een van degenen zijn die bij een storing om hulp worden gevraagd, en soms voert de fraudeur vooraf een soort manipulatie uit, waardoor het slachtoffer gedwongen wordt een assistent te zoeken. In dit geval verschijnt de hacker in een positieve rol en blijft de aanvaller dankbaar voor de geleverde service.

    Hoe jezelf beschermen?

    Redelijke scepsis en waakzaamheid zijn de belangrijkste verdedigingen tegen social engineering. Let altijd op de geadresseerde van brieven en het adres van de site waar u enkele persoonsgegevens gaat invoeren. De slachtoffers van cybercriminelen zijn niet alleen werknemers van het bedrijf en bekende personen, maar ook gewone gebruikers - een fraudeur heeft mogelijk toegang nodig tot uw pagina op een sociaal netwerk of een elektronische portemonnee. Als u wordt gebeld door een persoon die zichzelf voorstelt als werknemer van een organisatie of website, onthoud dan dat hij, om uw account te manipuleren, in de regel geen vertrouwelijke gegevens hoeft te kennen - maak deze niet zelf bekend. Een verzoek om persoonlijke informatie te verstrekken, bijvoorbeeld paspoortgegevens, zou u moeten waarschuwen - om een ​​persoon te identificeren, hebben ze meestal alleen de laatste cijfers van sommige gegevens nodig, en niet allemaal.

    Werk niet met belangrijke informatie in het bijzijn van vreemden. Fraudeurs kunnen gebruik maken van het zogenaamde schoudersurfen - een vorm van social engineering wanneer informatie over de schouder van het slachtoffer wordt gestolen. Terwijl het nietsvermoedende slachtoffer achter zijn computer aan het werk was, werd een aanzienlijke hoeveelheid belangrijke gegevens op het scherm bespioneerd.

    Ga niet naar verdachte sites en download geen twijfelachtige bestanden, want een van de beste social engineering-tools is onze nieuwsgierigheid. Vraag jezelf in elke situatie af of je weet waar, waarom en waarom wanneer ze je bellen, schrijven, een dienst aanbieden of bijvoorbeeld een USB-stick overgeven. Als dit niet het geval is, vraag dan advies aan een vertrouwd en deskundig persoon, negeer deze situatie anders, maar geef nooit belangrijke informatie zonder een goede reden.

    Het concept van "social engineering"

    Definitie 1

    Social engineering is tegenwoordig een van de gangbare concepten. Het wordt gebruikt om een ​​methode aan te duiden voor het verkrijgen van de nodige informatie, die is gebaseerd op de kenmerken van iemands psychologische toestand. Het belangrijkste doel van social engineering is om toegang te krijgen tot persoonlijke informatie van een persoon, die hij niet deelt, aangezien deze vertrouwelijk is. Deze informatie omvat paspoortgegevens, bankgegevens en andere beveiligde systemen.

    De term 'social engineering' is relatief recent, maar de methode zelf wordt al meer dan vijftig jaar gebruikt. Aanvankelijk was hij vooral populair bij de KGB en de CIA om informatie te verkrijgen over de interne staat van de staat en over eventuele staatsgeheimen. Niet minder interessant voor hen was informatie over het persoonlijke leven van een prominente politicus, plaatsvervanger, en over het leven van een gewone burger, zijn inkomsten en uitgaven.

    Tegenwoordig is social engineering niet alleen in trek bij hoge functionarissen: we denken zelf niet dat we deze methode gebruiken als we geheime informatie willen krijgen die oorspronkelijk niet voor ons bedoeld was. Maar het is belangrijk om te beseffen dat social engineering niet altijd als een legale methode wordt uitgevoerd, en voor het verkrijgen van vertrouwelijke en persoonlijke informatie over een persoon die deze wilde verbergen, kunt u een bepaalde straf krijgen in overeenstemming met die voorzien door de wetgeving van het land waar de persoon een wetsovertreding heeft begaan ...

    Social engineering technieken

    Het is gebruikelijk om de volgende methoden te noemen als de belangrijkste methoden van social engineering. De eerste is pre-sms'en. Het is een set van acties uitgewerkt volgens een eerder ontwikkeld scenario. Als gevolg van enkele manipulaties geeft het slachtoffer zelf alle informatie die de fraudeur nodig heeft of voert hij een handeling uit die de dader van haar verlangt. Het meest voorkomende type aanval vindt plaats in spraakmedia. Bijvoorbeeld chantage of afpersing via Skype, mobiel of vaste telefoon.

    De tweede methode van social engineering is phishing. Dit is een van de meest voorkomende internetfraudetactieken die tot doel hebben persoonlijke informatie van gebruikers van een systeem te verkrijgen. Nu de meest populaire phishing van sociale netwerken, waar fraudeurs persoonlijke informatie van gebruikers verzamelen en ook de mogelijkheid hebben om het systeem van privéberichten binnen te dringen, de vrienden en familieleden van het slachtoffer te chanteren, geld af te persen en zich voor te doen als de gebruiker zelf.

    Opmerking 1

    Een van de soorten phishing-aanvallen is een nepbericht (brief), dat naar slachtoffers wordt gestuurd in de vorm van betalingscheques of als een officiële brief van een bank met de verplichting om persoonlijke gegevens in te voeren (pincodes van creditcards, login en wachtwoord van een persoonlijke rekening in het banksysteem).

    Vaak dient een zekere mate van psychologische druk van de fraudeur als motivatie voor een persoon: hij wordt bedreigd met het blokkeren van een account, het breken van het systeem, het hacken van sociale netwerken en het verspreiden van persoonlijke informatie voor iedereen om te zien.

    Social engineering-methoden gebaseerd op de psychologische kenmerken van het slachtoffer

    Natuurlijk kiest social engineering die methoden die het slachtoffer zullen beïnvloeden. Een van de soorten van dergelijke invloed is psychologisch. Dit omvat methoden zoals:

    • Trojaans paard - de methode is gebaseerd op gevoelens zoals nieuwsgierigheid, angst voor het slachtoffer of andere negatieve emoties. De aanvaller stuurt het slachtoffer een brief met een boodschap. Bijvoorbeeld "ongekende promotie", "gratis antivirus-update", "geldprijs" of een bedreiging met compromitterende informatie over het slachtoffer. De brief bevat een link, door erop te klikken, start een persoon een virus op zijn computer, dat zal worden gebruikt om gegevens in het systeem te wijzigen, en de informatie die is verzameld uit het persoonlijke account van het slachtoffer zal vervolgens worden gebruikt om een ​​soort van uitkering (meestal geld van de persoonlijke bankkaarten en rekeningen van het slachtoffer);
    • Qui pro quo (met andere woorden, quid pro quo). Bij deze techniek neemt de fraudeur persoonlijk contact op met het slachtoffer via e-mail of telefoontjes. De fraudeur kan zich voorstellen als medewerker technische ondersteuning en het slachtoffer informeren over een ernstig technisch probleem in het systeem van zijn computer. Vervolgens wordt het slachtoffer geïnformeerd over de noodzaak om problemen op te lossen, terwijl ze commando's ontvangt die de overtreding helemaal niet elimineren, maar integendeel leiden tot de installatie van software die de persoonlijke accounts van het slachtoffer hackt en informatie van hen steelt;

    Opmerking 2

    Er is een andere techniek die reverse social engineering wordt genoemd. Het gaat ervan uit dat het niet de aanvaller is die het slachtoffer vindt, maar integendeel dat het slachtoffer zich in zodanige omstandigheden bevindt dat zij zich tot de aanvaller wendt voor zogenaamde “hulp”. Een slachtoffer ontvangt bijvoorbeeld een e-mail met daarin de contactgegevens van een “ondersteuningsdienst” die de persoon kan helpen bij het oplossen van een specifiek probleem. In dit geval belt of neemt de gebruiker zelf contact op met de aanvallers, zonder zelfs maar te vermoeden dat ze kunnen worden misleid.

    Het is niet ongebruikelijk dat cybercriminelen en hackers hun diensten aanbieden voor een bepaald bedrag. We kunnen bijvoorbeeld een advertentie zien "Ik zal een account hacken op Vkontakte / Instagram / Twitter / Facebook" of in andere populaire sociale netwerken. Zo wordt een persoon twee keer bedrogen: ten eerste betaalt hij geld en verliest het voor altijd, en ten tweede blijft de dienst waarvoor hij betaald heeft onvervuld. In deze situatie kan bij contact met de politie niet alleen de fraudeur worden gestraft, maar ook de persoon die deze dienst heeft aangevraagd, omdat hij opzettelijk inbreuk zou maken op de persoonlijke informatie en de ruimte van een andere persoon om

    In de afgelopen jaren hebben cybercriminelen die social engineering-technieken gebruiken, geavanceerdere methoden aangenomen die het waarschijnlijker maken dat ze toegang krijgen tot de informatie die ze nodig hebben, met behulp van de moderne psychologie van bedrijfsmedewerkers en mensen in het algemeen. De eerste stap bij het tegengaan van dit soort trucs is om de tactieken van de aanvallers zelf te begrijpen. Laten we eens kijken naar acht basisbenaderingen van social engineering.

    Invoering

    In de jaren 90 werd het concept 'social engineering' bedacht door Kevin Mitnick, een iconisch figuur op het gebied van informatiebeveiliging, een voormalig serieuze hacker. Aanvallers gebruikten dergelijke methoden echter lang voordat de term zelf verscheen. Experts zijn ervan overtuigd dat de tactieken van moderne cybercriminelen verband houden met het nastreven van twee doelen: het stelen van wachtwoorden en het installeren van malware.

    Aanvallers proberen social engineering toe te passen via telefoon, e-mail en internet. Laten we kennis maken met de belangrijkste methoden waarmee criminelen aan de vertrouwelijke informatie kunnen komen die ze nodig hebben.

    Tactiek 1. De tien handdruktheorie

    Het belangrijkste doel van een social engineering-aanvaller is om zijn slachtoffer van een van de volgende twee dingen te overtuigen:

    1. Het slachtoffer wordt gebeld door een medewerker van het bedrijf;
    2. Een vertegenwoordiger van de bevoegde instantie (bijvoorbeeld een wetshandhaver of een auditor) belt.

    Als een crimineel zich tot taak stelt gegevens over een bepaalde medewerker te verzamelen, kan hij eerst contact opnemen met zijn collega's en op alle mogelijke manieren proberen de gegevens te verkrijgen die hij nodig heeft.

    Herinner je je de oude six-handshake-theorie nog? Beveiligingsexperts zeggen dus dat er maar tien 'handdrukken' kunnen zijn tussen een cybercrimineel en zijn slachtoffer. Experts zijn van mening dat je in moderne omstandigheden altijd een beetje paranoia moet hebben, omdat het niet bekend is wat deze of gene medewerker van je wil.

    Aanvallers nemen meestal contact op met een secretaresse (of een vergelijkbare persoon) om informatie te verzamelen over mensen hoger in de hiërarchie. Experts wijzen erop dat een vriendelijke toon oplichters op veel manieren helpt. Langzaam maar zeker pakken criminelen een sleutel voor je op, wat er al snel toe leidt dat je informatie deelt die je eerder nooit zou hebben ontdekt.

    Tactiek 2. De bedrijfstaal leren

    Zoals u weet, heeft elke branche zijn eigen specifieke formulering. De taak van een aanvaller die de nodige informatie probeert te verkrijgen, is om de eigenaardigheden van een dergelijke taal te bestuderen om de technieken van social engineering beter te kunnen gebruiken.

    Alle specificiteit ligt in de studie van de bedrijfstaal, de voorwaarden en kenmerken ervan. Als een cybercrimineel in een vertrouwde, vertrouwde en begrijpelijke taal spreekt voor zijn doeleinden, zal hij gemakkelijker vertrouwen winnen en snel de informatie krijgen die hij nodig heeft.

    Tactiek 3: leen muziek om te wachten op oproepen

    Om een ​​succesvolle aanval uit te voeren, hebben oplichters drie ingrediënten nodig: tijd, doorzettingsvermogen en geduld. Cyberaanvallen met behulp van social engineering worden vaak langzaam en methodisch uitgevoerd - waarbij niet alleen gegevens over de juiste mensen worden verzameld, maar ook de zogenaamde "sociale signalen". Dit wordt gedaan om vertrouwen te winnen en het doelwit te omcirkelen. Aanvallers kunnen bijvoorbeeld de persoon met wie ze communiceren ervan overtuigen dat ze collega's zijn.

    Een van de kenmerken van deze aanpak is het opnemen van de muziek die het bedrijf gebruikt tijdens het bellen, terwijl de beller een antwoord verwacht. De overtreder wacht eerst op dergelijke muziek, neemt het dan op en gebruikt het dan in zijn voordeel.

    Dus wanneer er een directe dialoog is met het slachtoffer, zeggen de aanvallers op een gegeven moment: "Wacht even, de oproep is op een andere lijn." Het slachtoffer hoort dan bekende muziek en twijfelt er niet aan dat de beller een bepaald bedrijf vertegenwoordigt. In wezen is dit gewoon een slimme psychologische truc.

    Tactiek 4. Telefoonnummerspoofing

    Criminelen gebruiken vaak spoofing van telefoonnummers om het nummer van de beller te vervalsen. Een aanvaller kan bijvoorbeeld in zijn appartement zitten en een persoon van belang bellen, maar de beller-ID geeft het nummer van het bedrijf weer, waardoor de illusie wordt gewekt dat de fraudeur belt met een bedrijfsnummer.

    Natuurlijk zullen nietsvermoedende werknemers in de meeste gevallen vertrouwelijke informatie, inclusief wachtwoorden, aan de beller doorgeven als de beller-ID van hun bedrijf is. Deze aanpak helpt criminelen ook te voorkomen dat ze worden gevolgd, want als u terugbelt naar dit nummer, wordt u doorgestuurd naar de interne lijn van het bedrijf.

    Tactiek 5. Het nieuws tegen je gebruiken

    Wat de krantenkoppen van het huidige nieuws ook zijn, aanvallers gebruiken deze informatie als lokaas voor spam, phishing en andere frauduleuze activiteiten. Niet voor niets constateren experts recentelijk een toename van het aantal spambrieven, waarvan de thema's betrekking hebben op presidentiële campagnes en economische crises.

    Voorbeelden hiervan zijn een phishing-aanval op een bank. De e-mail zegt iets als dit:

    “Een andere bank [banknaam] neemt uw bank [banknaam] over. Klik op deze link om ervoor te zorgen dat uw bankgegevens up-to-date zijn voordat de deal wordt gesloten."

    Uiteraard is dit een poging om informatie te verkrijgen waarmee oplichters uw account kunnen binnendringen, uw geld kunnen stelen of uw informatie aan een derde partij kunnen verkopen.

    Tactiek 6. Gebruik maken van vertrouwen in sociale platforms

    Het is geen geheim dat Facebook, Myspace en LinkedIn enorm populaire sociale-mediasites zijn. Volgens deskundig onderzoek hebben mensen de neiging om dergelijke platforms te vertrouwen. Het recente spear phishing-incident gericht op LinkedIn-gebruikers ondersteunt deze theorie.

    Veel gebruikers zullen dus een e-mail vertrouwen als deze beweert van Facebook te zijn. Een veel voorkomende truc is om te beweren dat het sociale netwerk onderhoud uitvoert, je moet "hier klikken" om de informatie bij te werken. Daarom raden experts aan dat bedrijfsmedewerkers webadressen handmatig invoeren om phishing-links te voorkomen.

    Het is ook de moeite waard om in gedachten te houden dat sites in zeer zeldzame gevallen gebruikers een verzoek sturen om hun wachtwoord te wijzigen of hun account bij te werken.

    Tactiek 7. Tipsquatting

    Deze kwaadaardige techniek valt op door het feit dat cybercriminelen misbruik maken van de menselijke factor, namelijk fouten bij het invoeren van een URL in de adresbalk. Als een gebruiker met slechts één letter een fout heeft gemaakt, kan hij dus naar een site gaan die speciaal voor dit doel door cybercriminelen is gemaakt.

    Cybercriminelen hebben zorgvuldig de weg geëffend voor typequatting, daarom zal hun site als twee erwten in een pod zijn, vergelijkbaar met de legitieme die u oorspronkelijk wilde bezoeken. Als u dus een fout maakt in de spelling van het webadres, wordt u naar een kopie van een legitieme site geleid, die tot doel heeft iets te verkopen, gegevens te stelen of malware te verspreiden.

    Tactiek 8: FUD gebruiken om aandelenmarkten te beïnvloeden

    FUD is een psychologische manipulatietactiek die wordt gebruikt in marketing en propaganda in het algemeen, die erin bestaat informatie over iets (in het bijzonder een product of een organisatie) op zo'n manier te presenteren dat onzekerheid en twijfel over de kwaliteiten ervan bij het publiek wordt gezaaid en zo angst ervoor.

    Volgens het laatste onderzoek van Avert kunnen de veiligheid en kwetsbaarheid van producten en zelfs hele bedrijven de aandelenmarkt beïnvloeden. Onderzoekers bestudeerden bijvoorbeeld de impact van gebeurtenissen zoals Microsoft's Patch Tuesday op de aandelen van het bedrijf en ontdekten elke maand een merkbare fluctuatie nadat de kwetsbaarheid werd vrijgegeven.

    Je kunt je ook herinneren hoe aanvallers in 2008 valse informatie verspreidden over de gezondheid van Steve Jobs, wat leidde tot een scherpe daling van de Apple-aandelen. Dit is het meest voorkomende kwaadwillende gebruik van FUD.

    Daarnaast is het vermeldenswaard het gebruik van e-mail voor de implementatie van de pump-and-dump-techniek (een schema om de wisselkoers op de aandelenmarkt of op de cryptocurrency-markt te manipuleren, gevolgd door een ineenstorting). In dit geval kunnen aanvallers e-mails versturen waarin het enorme potentieel wordt beschreven van de aandelen die ze van tevoren hebben opgekocht.

    Velen zullen dus proberen deze aandelen zo snel mogelijk te kopen, en ze zullen in waarde stijgen.

    conclusies

    Cybercriminelen zijn vaak buitengewoon vindingrijk in het gebruik van social engineering. Na het bekijken van hun methoden, kunnen we concluderen dat verschillende psychologische trucs zeer nuttig zijn voor aanvallers om hun doelen te bereiken. Op basis hiervan is het de moeite waard aandacht te schenken aan elk kleinigheidje dat ongewild een fraudeur kan vrijgeven, de informatie over de mensen die contact met u opnemen, te controleren en dubbel te controleren, vooral als er vertrouwelijke informatie wordt besproken.

    Vergelijkbare publicaties: