Video: Cum și când ne rugam? Nu mai irosiți timpul și învățați cum să vă rugați corect (Noiembrie 2024)
Ingineria socială reprezintă puterile de e-mailuri de tip phishing și de site-urile malware care sunt îmbrăcate pentru a arăta ca site-uri web sigure și populare. În timpul unei discuții cu Chris Hadnagy, șef hacker uman la Social-Engineer Inc., l-am întrebat cum să detecteze aceste escrocherii. Sfaturile lui răspund de ceea ce le-am spus adesea cititorilor: fiți mereu bănuitori.
Mai mult decât un con
Din discuția mea cu Hadnagy, este clar că unele dintre ceea ce numim inginerie socială sunt aceleași trucuri pe care oamenii le-au folosit de ani de zile decizii de influență. Industria fast-food-ului, de exemplu, a explorat faimos ce culori ar încuraja oamenii să mănânce mai repede. Spiritiștii falsi din secolul al XIX-lea (care include membrii familiei mele) și folosesc astăzi o tactică numită „lectură rece” pentru a păcăli victimele să dezvăluie informații despre ei înșiși.
Dar există mai mult pentru inginerie socială decât trucuri ieftine, după cum demonstrează Concursul de Inginerie Socială Capture the Flag, organizat la Def Con. Aici, concurenții obțin puncte pentru informațiile pe care le obțin din companiile de cercetare și de la contactarea directă a companiilor respective. Hadnagy a spus că cei mai buni concurenți au făcut și cele mai multe cercetări, ceea ce demonstrează cât de util este să vă cunoașteți țintele.
Din păcate, acum este un moment excelent pentru a fi un inginer social care face cercetări sau colectarea de informații surse deschise. Hadnagy a explicat că companiile și persoanele fizice postează o mulțime de informații pe social media, multe dintre ele putând fi utilizate în atacuri de inginerie socială. Anterior, ne-am uitat la modul în care escrocii încercau să folosească informațiile obținute de pe Facebook pentru a face escrocherii să pară mai atrăgători - uneori cu rezultate hilar.
Direcționarea emoției
Una dintre cele mai bune tactici de inginerie socială este să te împiedici să gândești critic, de obicei, vizând emoția. Hadnagy a spus că un atac care aproape l-a păcălit a susținut că este un e-mail de expediere Amazon. „A fost ceva personal, ceva care mi-a afectat viața și ceva care a fost important pentru mine”, a spus el.
În acest atac particular, Hadnagy a primit un e-mail în care a spus că una dintre importanțele sale comenzi Amazon a fost întârziată din cauza numărului de card de credit scăzut. În zilele care au condus la o conferință majoră, Hadnagy a spus că a fost suprasolicitat și a dat clic pe linkul din e-mail - în loc să viziteze Amazon direct. Pagina pe care a fost făcută a fost bine creată, dar, din fericire, a observat domeniul „.ru” înainte de a introduce orice informație personală.
Deși era simplă, această tactică era foarte eficientă. "Sunt tipul care, din cauza a ceea ce fac, a pescuit peste 190.000 de oameni în ultimele câteva luni", a spus Hadnagy, referindu-se la lucrările sale de consultanță. "Aproape am căzut pentru acest atac."
Un alt avantaj al apelării la emoție este faptul că nu necesită tipul de cercetare pe care îl au cei mai buni ingineri sociali angajați. „Ceea ce vom vedea este că alegem lucruri care sunt importante pentru mase”. Hadnagy a explicat că aceasta include transportul UPS, comenzile Amazon și transferurile PayPal.
De asemenea, apelul în masă funcționează bine pentru difuzarea maselor, o altă tactică frecventă. „Ei trimit acest lucru la milioane de oameni simultan, așa că nu le pasă dacă primesc 100%”, a spus Hadnagy. "10 la sută reprezintă încă mii de conturi compromise."
Să rămână în siguranță
Multe dintre tactici utilizate pentru localizarea e-mailurilor de phishing sunt valabile și pentru inginerie socială. Tot ceea ce sună prea bine pentru a fi adevărat - sau prea rău pentru a fi adevărat - probabil nu este adevărat. Tactică precum trecerea linkurilor pentru a vedea adresa URL completă, introducerea manuală a adreselor web și evitarea legăturilor care ies din senin sunt toate tactici solide.
Însă porțiunea de apel live a competiției Capture the Flag evidențiază o altă fațetă a ingineriei sociale: încrederea instituțională. În acest an, mulți dintre concurenți au pozat ca colegi sau vânzători, ceea ce le-a oferit angajaților companiilor țintă un motiv imediat pentru a avea încredere în ei. Uneori, merită să puneți întrebări atunci când cineva care pretinde a fi CEO al companiei dvs. vă sună personal.
Hadnagy a făcut o carieră explicând ingineria socială, dar nu este preocupat dacă atacatorii își ridică trucurile. "Băieții răi nu caută date despre cum să facă asta", a spus el pentru SecurityWatch. "Ei știu deja cum. Problema este că băieții buni nu." Prin munca sa, Hadnagy crede că poate învăța America corporativă și oameni obișnuiți cum să gândească critic despre interacțiunile lor zilnice și cum să răspundă în cele mai grave cazuri. Hadnagy a explicat-o astfel: „În loc să-i înarmăm pe cei răi, îi înarmează pe cei buni”.
Imagine prin intermediul utilizatorului Flickr, Travis V.