it-swarm-tr.com

Sosyal mühendislik gerçek bir tehdit midir?

Geçenlerde Aldatma Sanatı: Güvenliğin İnsan Unsurunu Kontrol Etme Kevin Mitnick

Kitap 4 Aralık 2002'de yayınlandı. Sadece bu kitapta anlatılan tekniklerden bahsetmemekle kalmıyor, aynı zamanda sosyal mühendislerin kullandığı yöntemler bugün hala bir tehdit mi?

Şimdi, kitaptan ve kitapta açıklanan sorunlardan en az 10 yıl geçtiğimizde, bize sunulan bilgileri hızlı bir şekilde doğrulayabildiğimizden ve şifreli, yüksek hızlı mobil kullanım olanaklarıyla doğrulayabileceğimizden, bu tür saldırılara karşı bağışık olmamız gerektiğini düşünüyorum. ağ bağlantıları, imtiyaz kontrol sistemleri, biyometrik tanımlama, vb ...

Yanlış güvenlik duygusu içinde mi yaşıyorum yoksa benden konuşmaktan korkuyor mu?


Ve şimdi böyle bir soru sormanın ve tüm değerli bilgilerinizi almanın ya da almamanın bir sosyal mühendislik olup olmadığını düşünebilirsiniz. :-)

105
Marek Sebera

Kesinlikle yanlış güvenlik duygusu içinde yaşıyorsunuz! Sosyal mühendislik bugün hala çok yaygın ve şüphesiz bunun onlarca yıl içinde değişmek üzere olduğundan şüpheliyim.

İşte sosyal mühendisliğin neden işe yaradığına dair bazı kısa açıklamalar. Her şeyi kapsaması zor çünkü sosyal mühendislik gerçekten geniş bir alan.

Sosyal mühendisliğin çalışmasının bazı nedenleri (Altta alıntılanan kitaptan):

  • Çoğu insan, özellikle yabancılara karşı kibar olma arzusuna sahiptir
  • Profesyoneller bilgili ve akıllı görünmek istiyor
  • Eğer övülürseniz, genellikle daha fazla konuşur ve daha fazla açıklarsınız
  • Çoğu insan yalan söylemek için yalan söylemez
  • Çoğu insan onlar hakkında endişeli görünen insanlara nazikçe cevap verir

Yardımcı olmak

Genellikle insanlar birbirlerine yardım etmek ister. Güzel şeyler yapmayı seviyoruz!

  • Kahveye batırılmış kağıtlarımla büyük bir şirket ofisinde resepsiyona girdim. Resepsiyonistle konuşuyorum ve 5 dakika içinde bir iş görüşmesi toplantısı yaptığımı açıklıyorum, ama tüm gazetelerime kahve döktüm. Sonra resepsiyonist çok tatlı olup olmadığını sormak ve sahip olduğum bu USB bellek çubuğu ile onları tekrar yazdırın.

    Bu, resepsiyonist PC'sinde gerçek bir enfeksiyona neden olabilir ve bana ağ içinde bir dayanak kazanabilir.

Korku kullanmak

Sipariş edildiği gibi başarısız olma ya da yapma korkusu:

  • Şirketin direktörü (John Smith) facebook sayfası (ya da başka herhangi bir bilgi kaynağı) 3 hafta boyunca bir seyirde kaldığını ortaya koyuyor. Sekreteri ararım ve komuta sesiyle "Merhaba, Chris arıyor. John Smith ile telefonumdan yeni çıktım, eşi Carla ve çocukları ile birlikte gezisinde çok iyi vakit geçiriyor. Ancak, biz çok önemli bir iş sistemini bir araya getirmenin ortasında, bize yardım edebilmeniz için sizi aramamı söyledi, safariye gittikleri için kendini arayamadı, ama bu gerçekten acil bir durum. ona postada gönderilen USB çubuğunu takın ve takın, bilgisayarı başlatın ve hepimiz bitti. Proje hayatta kalıyor!

    Çok teşekkür ederim! Çok yardımcı oldunuz! Eminim John Smith bu yardımseverlik için sizi tanıyacaktır. "

Karşılıklı oynama

  • Bagaj kapağı. Giriş kapısını senin için tutuyorum ve çabucak arkanda yürüyorum. Güvenlik etkin olan bir sonraki kapıyı açtığınızda, aynı yöne gidiyorum ve çoğu insan kapıyı tekrar sizin için tutarak yararlı eylemi geri ödemeye çalışacak ve böylece olmamanız gereken bir yere girmenize izin verecektir. Yakalanma konusunda endişeli misiniz? Hayır .. Sadece üzgün olduğunu ve yanlış yola gittiğini söylüyorsun.

    Hedef neredeyse kapıyı senin için tutmak zorunda kalacaktı!

Meraktan yararlanmak

  • Kuruluşunuzdaki çeşitli konumlara 10 USB bellek bırakmayı deneyin. Onları çok açık yerlere koymak zorunda değilsiniz. USB'nin otomatik çalışan bir telefon ana programı olması gerekir;.

    Bunun bir başka versiyonu USB çubuklarını örneğin "John Smith - Norveç.pdf" olarak adlandırılan tek bir PDF) bir belgeyle bırakmaktır. PDf belgesi bir Adobe Acrobat Reader istismarını içerir (tonlarca Tabii ki, istismarın hedef kuruluşun Adobe'nin özel sürümüne göre ayarlandığından emin oldunuz.Çoğu kişinin dokümanı açabilmesi için dokümanı açması doğal olacaktır. USB belleği sahibine iade etmeyi deneyin.

    • Merakın başka bir örneği (belki de başka bir terim bunu daha iyi açıklar), bir şey kazandığınız tüm SPAM postaları veya kötü İnternet reklamları veya bir Nijeryalı prens ona yardımcı olabilirseniz size çok fazla para sunuyor. Eminim bunları zaten biliyorsunuzdur, ancak bunlar aynı zamanda sosyal mühendislik saldırılarıdır ve durmamalarının nedeni hala çalışmaktadır!

Bu sadece birkaç örnek. Tabii ki tonlarca daha var!

Ayrıca tarihi sosyal mühendislik etkinliklerine de göz atabiliriz:

HBGary

Tüm hikaye okunabilir burada (Sayfa 3 sosyal mühendislik bölümünü içerir)

  • Geçen yıl HBGary hacklendi. Bu saldırı birçok farklı adımı değil, aynı zamanda sosyal mühendislik yönünü de içeriyordu. Uzun lafın kısası, bilgisayar korsanı şirkette bir VIP) e-posta hesabını tehlikeye attı ve hedef sistem yöneticisine şöyle bir şey e-posta gönderdi: "Merhaba John, şu anda Avrupa'dayım ve havaalanları arasında zıplıyorum. Herhangi bir IP'den gelen benim için yüksek numaralı bir limanda SSH'yi açabilir misiniz? Biraz iş yapmam gerekiyor ". Yönetici bu e-postayı aldığında buna uymanın doğal olduğunu düşünüyor, e-postanın güvenilir bir kaynaktan geldiğini görmek.

    Ama bu değil! Saldırganın hesap için şifresi vardı, ancak giriş çalışmıyor! Bu yüzden yöneticiye tekrar e-posta gönderiyor. "Tekrar hey, çalışmıyor gibi görünüyor. Şifre hala doğru mu? Kullanıcı adı tekrar neydi?". Şimdi sistem için gerçek şifreyi de sağladı (saldırgan aynı hackte başka bir sistemin daha önceki güvenliğinden ödün vermesini sağladı) ve saldırgana yöneticiden çok daha fazla güven verdi. Elbette yönetici saldırgana kullanıcı adını söyler ve söyler.

En üstteki liste " Sosyal Mühendislik: İnsan Hacking Sanatı " kitabından geliyor ve kesinlikle tavsiye ederim!

166
Chris Dale

Evet, herhangi bir sistem en zayıf üye kadar zayıftır ve bu insan) ve her zaman olacaktır.

Şu anda bu en belirgin tekniklerden bazıları için 'bağışıklık' olabilirsiniz, ancak bu 'BT departmanından' bir telefon alan stresli sekreter için de aynı şekilde geçerlidir Önümüzdeki haftasonuna kadar bekleyemeyen patronları bilgisayarındaki önemli bilgileri hızlı bir şekilde aramak için, oh ve açılan ve önemsiz bir soru sorabilecek garip bir pencere, sadece Accept 'ı tıklayacaktır. Tabii ki yapacak ... herkes yanlış durumda yapacak ...

29
ordag

Sosyal mühendislik (SE) sadece saldırganın sahip olduğu bilgileri kullanmak değil, aynı zamanda (insan) davranış kalıplarını kullanmakla da ilgilidir.

Bunu açıklamak için, biraz egzersiz yapalım - Word'ü değil, rengi yüksek sesle söyleyin.

enter image description here

Burada "istismar" ı görebiliyor musunuz? Bu "sömürünün" gerçek yaşam durumundaki kullanımı çok tartışmalıdır, ancak geçerli bilgiye sahip olsak bile beynimizin nasıl manipüle edilebileceğini çok açık bir şekilde göstermektedir (hepimiz bebekken renkleri öğrendik).

Gerçek hayat örneği böyle bir şey olabilir - diyelim ki sekreterin USB'nizi makinasına koymasını istiyorsunuz. Ona gitmek ve bunu yapmasını isteyen kibar, özellikle bunu yasaklayan politikalar varsa reddedilebilir. Ama sen giyebilir, gömleğine/pantolonuna ve kağıtlarına kahve dökebilir ve sonra ona gelip o kağıtları tutup şöyle diyebilirsin: "Toplantıya çok geç kaldım ve buraya giderken kedi koştu Arabanın önü ve ben gerçekten zor kırmaya başladım. Kedi hayatta kaldı, ama kağıtlarım yoktu. Bunun garip bir istek olduğunu biliyorum, ama lütfen, benim için basabilir misin? Gerçekten geç kaldım ve patronun olabilir bana gerçekten kızgın! "

Buna bahane denir ve temel olarak, SEr tarafından oynanan bir roldür. Bu bahane ile ne yapıyoruz? Duyguları sömürüyoruz. Bu iyi oynanırsa ve microexpressions gerçekse, büyük olasılıkla istediğinizi yapar. Neden? Çünkü biz insanlar böyle kodlandık. Evet, bilinmeyen bir cihazı PC'sine koymanın zararlı olabileceğini biliyor olabilir; Evet, bu konuda eğitilmiş olabilir, ama ciddi olalım, kediyi vurmamaya çalıştın, kahvenizi içmedin, elbiseni mahvettin, toplantıya geç kaldın, patron sana kızgın olacak ve şimdi bazı politikalar ona kaba olmasını istiyor. Hadi ... Ancak, burada önemli olan onu doğru ruh haline sokmak - senin için üzülmek. Bunu yapmak için, mikro ifadeleriniz onun tarafından doğru (gerçek) olarak yorumlanmalıdır. Kartlarınızı doğru oynadıysanız, renklerle aynı efektlere sahip olursunuz. Bunun yapmaması gereken bir şey olduğunu biliyor (kelimelerin rengi), ama duygular ona başka türlü söylüyor (kelimelerin anlamı).

SEr'nin hedefe çekebileceği bir başka numara da --- Pavlov'un köpek deneyi . Peki, salya akan köpeğin ITSec ile ne ilgisi var? Diyelim ki işyerinizdeki fiziksel güvenliği bilmek istiyorum. Bu bilgiyi benimle paylaşmaman gerektiğini biliyorsun. İşten sonra her zaman bir şeyler içmek için yerel pub'a geldiğinizi de biliyorum. Bir gün kendimi tanıtırım ve küçük konuşmaya başlarız. İlk başta havalı arabanla ilgiliydi. Sonra bardaki kadınlar hakkında, sonra eski sevgililerimiz, geçen yılki tatiller vb. Hakkında konuşmaya başladık ... Sonuçta, konuşmak alışılmadık bir şey değil, ama özel hayattan. Karşılaştığımızda, her soru sorduğumda sigarayla masaya çarptığımı fark ettiniz. İlk başta sinir bozucu bir alışkanlık olabilir, ama sonra sadece görmezden geldin. Etrafımda rahat hissetmeye başladığınız birkaç gün/hafta sonra iş ve çalışma ortamınızı sormaya başladım. Ve yavaş yavaş, şirketinizdeki fiziksel güvenlik hakkında ne bilmek istediğimi söylediniz.

Burada ne yaptım? Seninle rahat konuşarak, beynini her sigarayla masaya vurduğumda bana cevap vermesi için eğittim. Bu beyin yıkama olmasa da, sadece bunu yaparak bana en karanlık sırlarını söylemeyeceksin, bunu bir soğan tabakası soymak gibi düşün. İkinci katman, sizinle birlikte geçirdiğim zamanla kazandığım güvendi. Ve böylece ... Sizi manipüle ettim ve bu basit numara, hassas sorular sorduğumda kırmızı bayrak kaldırmama yardımcı oldu. Yine, bu sizin sahip olduğunuz bilgilerle (yabancılara söylemeyin) değil, davranışlarınız ve dış dünyaya tepkinizle ilgilidir.

Burada söylemeye çalıştığım şey - ne biliyor olursanız olun, doğru duruma yerleştirilirseniz, sizden istenenleri yapacaksınız. Neden? Çünkü bizim genetikimizde.


Sadece bir veya iki "BT dışı sektör" örneği vermek, eğer becerikli SEr tarafından saldırıya uğrarsa hangi hedefin/bilginin nasıl anlamsız olabileceğini vermek. Mahkemede kanıtlar saf soğuk gerçeklerdir, ancak iyi avukat müvekkilinin durumu ne kadar kötü olursa olsun SE'yi kullanarak bu gerçekleri lehine çevirebilir.

Araba satın almadan önce, kendiniz için en iyi olanı kendiniz bilgilendireceksiniz. Bir mağaza satın almak için dükkana geldiğinizde, satıcı SE'yi kullanarak daha pahalı araba almanız gerektiğine sizi ikna edebilir.

Ayrıca, bu videoyu kontrol edin . Nasıl yaptı? Sadece normal davranarak. Başka bir şey yok.

17
StupidOne

Hedef dahili bilgi olduğunda en çok kullanılan hedefli saldırı biçimlerinden biridir - yıllardır sosyal mühendislik saldırı ekipleriyle çalışırken sunucu odalarına ve güvenli alanlara eriştik, gizli evraklar aldık, hassas sistemler vb. .

Genel olarak insanlar yardımsever ve cahil. Bu kulağa sert geliyor, ama genel olarak, insanlar sıkıntılı birisine yardım etmeye çalışacaklar, özellikle de o kişi tehditkar görünüyorsa veya kulağa kötü geliyorsa. Ve bir sistem veya prosedür hakkında daha fazla bilgi sahibi olan biriyle karşılaştığında, birçoğu kendisinden ne yapmaları istenir.

Her yıl sizin organizasyon - farkındalık eğitiminde güvenliği artırmanın nispeten ucuz bir yolu. Paranın patlaması açısından bu, BT güvenliğine harcamaktan daha etkili olabilir.

10
Rory Alsop

Sosyal mühendislik hala en zayıf halkadır. İnsanlar genellikle güveniyor ve bazen parola sıfırlamaları gibi düşük düzeyli teknik destek sorunlarını çözen insanlar, özellikle güvenlik bilincine sahip olmayan ucuz, kötü eğitimli işçiler.

Ek olarak, bilgi güvenliği, sistemler/politikalar tasarlanırken müşteri memnuniyeti, sosyal mühendislik zayıflıklarına yol açacak kadar yüksek bir öncelik olmak zorunda değildir.

6
dr jimbob

Sosyal Mühendis = Güven Trixter. Con erkekler, X'in veri, silah, patent, ticari sır, şifre vb.'ye eşit olduğu her türlü güvence yöntemini (X) ihlal etmede tamamen başarılı oldular.

İnsanları birbirine bağlamak zaman kadar eskidir ve insanların zihinleri yeni teknolojiyi öğrenirken ve diğerleriyle etkileşime girerken zayıf noktalar olduğu kadar esnektir.

Bu bir şaka olmalı (CVE-0'ı Yönetmek), ama saldırınızı hedeflemenin en iyi yolu şirketinizi tanımak ve şirket mücevherlerinin kapısını açan daha az teknoloji meraklısı bir şirket başkan yardımcısı bulmaktır.

5
Fiasco Labs

Hesabınızın askıya alınmış tüm kimlik avı spam'lerine bakın. Bazen işe yaramazsa göndermeyeceklerdi. Bu bir sosyal mühendislik saldırısı.

Ve orijinal cevabımı yazdığımdan beri başka bir davaya rastladım: Patrondan bir altlığa sahte bir e-posta, satın aldıkları bir resim için ödeme yaparak belirli bir banka hesabına 6 rakamlı bir miktar ödemeye yönlendiren bir e-posta. Bu mızrakçıyı deneyen, hedefini yeterince iyi bilmiyordu, böyle bir satın alma onun için karakterden çok uzak olurdu.

1
Loren Pechtel